萬豪資料失泄 分析:或屬情報收集 未出現在暗網 反映沒轉售圖利

文章日期:2018年12月9日

【明報專訊】近年全球個人資料外泄事件有上升趨勢,最新一宗為全球最大酒店集團——萬豪國際(Marriott International)旗下喜達屋(Starwood)酒店及度假村集團訂房數據庫被黑客入侵,在全球有多達5億個用戶資料外泄,受影響人數僅次於2013年雅虎的30億電郵用戶資料外泄事件,喜達屋的酒店網絡包括喜來登、福朋喜來登和W酒店等,本港住客也可能受到影響。有網絡安全專家發現,外泄的個人資料暫未見出現在暗網(Dark Web)上,反映黑客未打算轉售資料圖利,有可能是國家級黑客收集情報之用,上周路透社更指事件有可能是與中國政府有關。

資料來源 :《紐約時報》、《福布斯》

萬豪於上月底才公布事件,指外泄的個人資料,涉及逾3億人的護照號碼、電郵和電話號碼等,以及近2億人的信用卡號碼及到期日。這次事件更要追溯到2014年,與公開時間明顯有一段「時差」,集團直至今年9月初時接獲內部警示,提醒有未經授權存取喜達屋的訂房系統一事,推使萬豪與第三方網絡保安專家合作,揭發黑客早於4年前已開始從系統中盜取個人資料。有分析指出,被盜的信用卡資料受到加密,即使有不法分子找到破解方法,未經授權的交易容易被撤銷;反而更嚴重的是,當不法分子使用其入侵系統所得的住客地址、出生日期、護照號碼及其他敏感信息,以其名義開設新帳戶,因此建議受影響住客立即凍結信貸,認為是最佳打擊身分盜用的方法。

事件可追溯4年前 上月底始公布

住客人人自危,萬豪亦自身難保,紐約檢察長安德伍德(Barbara D. Underwood)、聯邦調查局(FBI)和歐盟監管機構等已就萬豪被駭一事展開調查,集團勢面對巨額罰款和國際集體訴訟。鑑於今次外泄的資料數量和敏感程度,以及通報事件的時間,萬豪可能觸犯歐盟今年才剛實施的《一般數據保護條例》(General Data Protection Regulation),成新例下的「第一滴血」,企業一旦違反可被罰款高達全球收入的4%,而且法例規定企業知悉事件後要在72小時內通知當局。諷刺的是,萬豪本身有及早化解危機的機會,喜達屋曾通報個別餐廳和禮品店的收款系統被裝上惡意軟件,以盜取信用卡資料,而通報時間正於2015年——被萬豪收購的4天後。

雅虎美國以色列已賠6.6億

雖然今次萬豪的個人資料外泄規模,與雅虎電郵門的數量「仍有一段距離」,但已遠高於去年美國消費信貸資料收集公司Equifax遭黑客盜去逾1.45億人的資料,估計其有關賠償金額可高達4.39億美元(34.2億港元)。至於在2013年遭黑客入侵的雅虎,波及全球約30億電郵用戶,直至2016年底才公開證實事件,而經過歷時2年的集體訴訟,Yahoo同意向美國和以色列主要受影響的2億用戶,賠償5000萬美元(3.9億港元)和3500萬美元(2.7億港元)訟費。

與美政府部門被駭時間相若

由於喜達屋訂房數據庫被入侵的時間,與美國健康保險公司、聯邦人事管理局(OPM)被黑客攻擊事件時間大致相近,故有網絡安全公司和政府官員認為,住客資料或是間諜的潛在目標,用作建立龐大個人資料庫,但其他專家尚未能確定彼此關連。網絡安全公司Recorded Future、網絡保險公司Coalition都指出,暫時未發現有關個人資料在暗網(Dark Web)上出現,暗網泛指只能用特殊軟體和授權、或對電腦作特殊設定才能存取的網絡內容,反映涉事黑客可能不打算轉售資料圖利。網絡安全專家 James A. Lewis稱:「一般情况下當被盜個人資料未有出現(在暗網),意味有國家級機構收集作情報用途。」

美企保護私隱條例或再收緊

近年酒店業成為國家級黑客的熱門目標,以取得情報機構感興趣的國家元首、外交官和企業行政總裁的行蹤和偏好。酒店住戶資料數據量龐大,足以建立大型個人資料數據庫,對普通黑客可能實際用處不大,對政府而言卻極其有用。例如個人資料可投入到國家安全機構運行的分析程式中,原理就如企業運用大數據進行針對式市場推廣,政府可以借助住客資料,查明其他國家情報人員的行蹤, 例如查出他們是否留在同一酒店,作為他國的潛在情報來源。

今次事件亦觸發了立法層面的關注,有美國民主黨議員稱,以往美國只實施個人資料保安條例,規定企業要撥款作網絡安全開支,而非令企業承擔為消費者所帶來的負擔和傷害;但這次是另一例子證明美國需要個人資料私隱條例,以懲罰未能保障客戶私隱的公司。

明報記者 王俊騏

[企業地球村]

相關新聞