万豪 N 条入住记录、员工工资等数据又遭泄露，黑客吐槽：安全水平很差，数据窃取基本没难度

6 月 8 日，网安媒体 DataBreaches 收到一封匿名邮件，标题为《万豪酒店遭遇入侵！非常重要！》看到标题，大家脑海中浮现的应该是同一个念头：怎么又是万豪？到底是新一波网络入侵，还是有人在拿之前泄露的旧数据做文章？

事实证明，这就是一波最新网络入侵。

那这一次万豪到底遇上了什么状况？涉及哪些数据？实施攻击的又是何方神圣？

让我们先从最后一个问题入手。虽然攻击团伙坚称自己没有名称，但 DataBreaches 将其定名为“GNN”（Group with No Name，无名团伙），而且从攻击痕迹来看，他们可绝对不是毫无经验的新手。因此，DataBreaches 深度怀疑他们要么是在伪装身份，要么就是史上最成功的低调网络犯罪组织。

本次事件始末

根据 GNN 的介绍，他们约在一个月前入侵了万豪酒店，并窃取到 20 GB 数据。其中包含大量信用卡与机密信息。

通过对网站文件的核查，我们发现这些信息来自万豪酒店马里兰州巴尔的摩华盛顿国际机场店（BWIA）。GNN 方面也确认称，他们侵入的确实就是这家万豪机场店的服务器。

根据 DataBreaches 发布的声明，GNN 曾经向万豪酒店众多员工发出关于入侵活动的电子邮件。万豪最初做过回应，但随后又停止了沟通：

GNN 发言人告知 DataBreaches，“我们就是这次数据泄露背后的组织者，对方正在与我们沟通。我们的行为模式属于红帽黑客，但对方却突然停止了进一步交流。”

6 月 29 日，DataBreaches 联系上了万豪酒店 CISO Arno Van Der Walt，后者迅速做出了回应，并询问是否愿意跟万豪指定的顾问律所 BakerHostetler 沟通。在 DataBreaches 同意之后，当天下午双方就顺利完成了接洽。

根据 GNN 已经在网站上发布的内容，DataBreaches 向万豪方面确认了事件的真实性，期间果然已经有部分数据不慎外泄。但在对方的话语中，此次事件似乎并不像 GNN 表述得那么严重。

GNN 拒绝回答他们是如何获得访问权限的，但万豪酒店表示，此次违规源自黑客团伙通过社会工程欺骗了一名内部员工，导致攻击者顺利访问到该员工的计算机。

万豪方面还补充道：

尚无证据表明，恶意黑客能够访问到该员工接触范围之外的文件。在就这些情况征求 GNN 意见时，对方并没有提出太多质疑，并表示据他们所知，万豪给出的说明与实际情况基本相符。

DataBreaches 并不清楚 GNN 在攻击后多久才联系万豪，也不知道有没有提出勒索要求。但万豪称早在 GNN 主动接触前就已经发现问题，并着手开展调查。万豪还提到，事件在六小时之内就得到控制。对于这样的说法，GNN 既不承认也未表示质疑。

万豪与 GNN 双方都表示，万豪没有为此事支付任何款项。万豪没有透露双方是否就此事进行过谈判，但 GNN 则提到期间其实进行过某种沟通：

他们跟我们沟通过，但后来又无缘无故中止了对话，可能是因为我们提出的价码太高。但我们其实很愿意与客户达成协议，也曾经告知万豪，我们完全可以给要价再打个折。

哪些数据被盗取？

万豪方面承认，虽然 GNN 窃取的大部分数据都属于“非敏感性内部业务文件”。但根据相关规定，万豪还是需要就此事向约 300 到 400 名受影响个人及监管机构发布通报。万豪没有提到此次事件具体涉及哪些个人信息类型。

据报道，万豪已经将事件通知执法部门并表示将支持进一步调查。

关于万豪酒店的安全水平，GNN 评论道：

他们的安全水平很差，数据窃取基本没有难度。虽然我们没能访问到整个数据库，但已经触及的部分仍然充斥着各种关键数据。

GNN 明显是将顾客及员工的部分专有和个人信息视为“关键数据”，并向 DataBreaches 提供了 20 GB 文件中的部分样本。

可以看到，其中一些属于内部商业文件，包含机密与专有信息，例如如何访问劳动力管理和调度平台等。从文件日期来看，其中部分手册和审计内容可能已经失效。本文不会披露任何数据内容，但有一些较新的文件列出了万豪酒店各部门的平均工资，这对员工或其他竞争对手可能颇具吸引力。

除了内部业务文件之外，其他文件还包含酒店住客及员工信息。DataBreaches 审查了航空公司为其机组人员在万豪机场店预订房间时的文件，表单中包含机组成员姓名（首字母和姓氏）、前往时乘坐的航班号、离开时乘坐的航班号、在机组中的职务（飞行员或空乘人员）以及分配到的 BWIA 房间号。此外，表单似乎还包含统一安排住客的航空公司或旅行社的企业信用卡号。以下截图为其中两份样本文件：

GNN 窃取并提供给 DataBreaches 的文件截图。酒店客人信息包括航空公司安排，表格中则显示出机组人员抵达航班、出发航班、姓名（名字首字母与姓氏）、BWIA 房间号，以及带有 CVV 和到期日期的完整企业信用卡号。图中敏感部分已被 DataBreaches 编辑遮挡。

DataBreaches 也看到了似乎与人力资源相关的文件，包括对 BWIA 指定活动主管的人事评估。尽管 这位员工在所有指标上都获得了正面评价，她的个人表现也获得了积极的主观表述，但不太清楚为什么这份文件会落入负责管理住客预订和信用卡信息的员工手上。好在内容并不特别敏感，应该不会给万豪带来严重影响。

DataBreaches 也不清楚万豪将要通知的 300 到 400 人主要是住客、员工，抑或二者兼有。

如上所述，万豪酒店立即承认了存在违规行为。他们在声明中并未提到最初是如何发现此次事件的，也没有透露可能采取哪些应对措施，例如是否会对员工进行二次培训、避免再次发生社会工程攻击。根据经验，DataBreaches 认为这只是受影响实体不想公开披露自己的安全措施变动。

不过事件的口子已开，如果 GNN 成功欺骗了其他权限更高的员工，那么后果将不堪设想。

更值得注意的是，算上这一次，万豪酒店包括数据泄露在内的违规事件至少发生过 7 次。

万豪酒店过往违规事件汇总

• 2010 年 9 月，HEI Hotels & Resorts 宣布其“某些酒店物业的信息系统可能遭遇漏洞利用”，事件影响到部分万豪品牌酒店。

• 2010 年 11 月，一位匈牙利人想通过感染万豪酒店的系统威胁后者给自己提供工作岗位。事实证明，这种求职方式相当不靠谱。

• 2011 年 4 月，万豪礼赏奖励计划客户收到了关于万豪供应商 Epsilon 的违规事件通知。

• 2018 年 11 月，喜达屋 2014 年的违规事件被首次曝光，也就是说万豪在 2016 年收购喜达屋时，双方对此均不知情。万豪披露，此次违规共影响到近 5 亿住客，而最终发布的重新估计数字则为至多 3.83 亿。该事件在加拿大引发了 1 亿美元的集体诉讼，英国信息专员办公室则开出 1840 万英镑罚款。在美国及其他各地的相关案件仍在审理当中。

• 2018 年违规事件的诉讼仍在继续，而万豪在 2019 年 10 月又宣布，某家未具名的供应商发生违规事件，导致部分员工受到影响。

• 几个月后的 2020 年 3 月，万豪酒店被迫向 520 万住客发出通知，称由于两位员工的登录凭证不慎外泄，这些住客的个人信息曾在 2020 年 1 月中旬至 2020 年 2 月期间被意外访问。

• 最后就是现在，2020 年某无名团伙再次入侵万豪巴尔的摩华盛顿国际机场店。

GNN 是谁？究竟什么来头？

在最近的事件中，“始作俑者”GNN 就不得不拿出来好好讨论一番了。他们到底是一群运气爆棚的新手，还是真的成功在全球网络安全媒体的眼皮子底下潜伏了多年？DataBreaches 怀疑后者的可能性更大，但 GNN 关于自身及其历史的说法并没有得到证实。

在与 DataBreaches 的交流中，GNN 表示他们是一支约有五年历史的国际黑客团伙。之所以能游离于媒体视野之外，靠的就是行之有效的沟通技巧与保密习惯。

GNN 还表示，他们从来不会加密锁定受害者的数据，因为这样会影响对方的正常运营。在被问及他们是否曾攻击过俄罗斯和独联体实体时，他们并没有简单给出“是”或“否”，而是回应称“我们攻击的是全世界所有企业。”他们的攻击从来只指向企业，从不涉及政府关键基础设施。

在被问及为什么要与 DataBreaches 联系时，GNN 发言人表示他们打算调整业务结构。结合他们过往的“辉煌战绩”，这样的说法似乎也有一定的可信度。至少他们成功攻击了万豪并拿到了内部数据，单凭这点就很说明问题了。

如何保护用户隐私安全？

在数据隐私备受关注的今天，无论是酒店，还是其他企业，保护用户隐私安全都是重中之重。

如何保护用户隐私安全？酒店可以从防丢失、防滥用、防篡改和防泄漏着手。

一是严控代码，告诉所有开发人员，不允许将任何开发代码上传到第三方平台，已经上传的代码立即删除；二是全业务渗透测试，启动一次针对全业务的渗透，堵上可能存在威胁数据安全的漏洞；三是权限梳理，尽快完成对业务系统敏感数据、访问人员和权限的梳理；四是数据加密，对梳理出来的敏感数据进行分类分级，确定哪些字段必须加密，利用第三方的透明加密系统、云上的加密服务 / 密钥管理服务逐步完成系统改造。

如果涉及数据库安全，企业应当定期对数据库进行风险评估。使用风险评估工具对数据库进行近乎实时监视的企业，会在加密后的数据离开数据库时更清楚地发现这一切。

数据库安全保障的实操，我们建议：

• 更换端口： 不使用默认端口虽然无法杜绝黑客的入侵，但可以相对增加入侵难度；

• 公网屏蔽： 只监听内网端口屏蔽公网端口的请求，通过该策略继续增加黑客的入侵难度；

• 使用普通用户启动： 建议大家维护的所有 db 都使用禁止登录的非 root 用户启动；

• 开启验证： 这虽然是复杂、痛苦的一步，但却是明智的选择；

• 权限控制： 建议大家针对自己维护的数据库设置一套适合对应业务的权限控制、分配方案；

• 备份策略： 一套可靠的本地备份逻辑 + 远程备份存储方案可以解决被黑、误删、机房漏水、服务器报销，甚至机房被核弹炸毁的场景；

• 恢复策略： 建立一套能够覆盖多数灾难场景的恢复策略来避免手忙脚乱是非常必要的；

• 敏感数据加密存储： 我们建议大家一定对任何敏感信息加密后再入库，例如：密码、邮箱、地址等等。

参考链接：

https://www.databreaches.net/exclusive-marriott-hacked-again-yes-heres-what-we-know/