文章來源@聞旅 |
日前,脫口秀演員池子(本名王越池)通過微博反映其個人賬戶交易信息被調取一事,讓涉事方中信銀行“上了熱搜”。
5月6日,王越池在其微博發佈聲明,指責中信銀行泄露其個人賬戶交易信息。稱已向公安局報案,同時向銀保監會等政府監管機關投訴。7日凌晨,中信銀行發佈致歉信,承認應客戶上海笑果文化傳媒有限公司要求,旗下員工未嚴格遵守規定,違規提供了王越池的收款記錄。稱已對相關員工予以處分,並對支行行長予以撤職。上海銀保監局表示,該局已關注到這一事件,並正式介入調查。
事實上,近年來銀行業關於用戶信息泄漏的報道時有出現,但在涉事企業或低調闢謠或“拒不迴應”的冷處理模式下,輿論熱度往往很快降溫。而得益於此次本應屬於娛樂界糾紛事件的成功“破圈”,銀行客戶個人信息安全性問題首次被大衆如此廣泛地討論,並引發各媒體的持續跟進以及監管機構的正式迴應。
值得注意的是,用戶信息泄漏的場景並非銀行業獨有,這只是大數據時代用戶信息“黑產”的冰山一角。聚焦旅遊業,伴隨市場規模持續擴張與互聯網加速滲透帶來的數據爆炸式增長,涉及到用戶個人信息的採集、應用與維護等層面,整個行業一直深陷法律監管與輿論譴責的雙重困境,遲遲不得脫身。
旅企用戶數據“裸奔”史
3月4日,英國資訊專員辦公室(ICO)發佈公告稱,2014年10月~2018年5月,國泰航空的系統因缺乏安全措施,導致全球約940萬客戶個人信息泄露,泄露的個人信息包括姓名、護照資料、出生日期、電話號碼、地址及旅行記錄。這是迄今爲止民航業波及羣體最廣的個人資料泄漏事件,ICO對國泰航空罰款50萬英鎊。
國泰航空數據泄露不是個例,事實上,由於“不設防”、存在管理漏洞或者系統漏洞等原因,全球航空公司用戶數據泄露事件頻發。
2014年,日本航空公司內部20臺電腦遭到惡意軟件襲擊,開始主動向外部發送數據信息。經比對,4131名顧客的文件內容與服務器通信記錄一致,確認信息已經泄露。本次泄露的數據包括會員號、會員辦理時間、姓名、出生日期、性別、聯繫方式及其工作地相關信息等,但相關密碼及信用卡號並未泄露。
2018年9月,英國航空透露,自8月21日以來,英航官網和移動端程序遭黑客攻擊,導致38萬用戶的個人及信用卡信息遭泄露。據報道,該事件始於2018年6月,涉及50萬顧客的登錄賬號、銀行卡、旅行預訂細節以及姓名和地址等信息。2019年ICO宣佈,將對英航此次客戶數據遭泄露事件開出1.83億英鎊天價罰單,相當於其2017年營業額的1.5%。
2019年,卡巴斯基實驗室披露,馬印航空及泰國獅航約3千萬乘客的資料被上傳存儲在開放的亞馬遜雲服務中,同時有部分數據已在暗網售賣,泄露的數據包括護照信息、住址和電話號碼等,但付款信息未遭到牽連。馬印航空隨後證實了數據泄露的消息,稱數據由供職於爲馬印航空提供電商服務的 GoQuo 公司前職員“不恰當地獲取並盜竊”。
2020年1月,航空博主“超側衛”稱,有人在微博上發佈了包含大量演藝明星個人信息的乘機記錄,包括鞠萍、井柏然、鄧倫、白敬亭、倪妮等明星的生日、國籍、行程、常旅客狀態等個人信息。隨後國航迴應稱,涉事人員系國航一名乘務人員。因其行爲嚴重違反國航數據管理相關規定。目前已對該員工做出停飛處分......
可以看到,不分國內海外,無關全球巨頭與區域航司,航空業界的用戶信息泄漏早已氾濫;而作爲旅遊領域在線化率緊隨航空產業的酒店業,其用戶數據泄漏態勢同樣讓人觸目驚心。
2020年3月31日,萬豪國際酒店通報稱,約520萬名客人的資料可能被泄漏。此次泄漏的資料包括客戶姓名、地址、電話號碼、生日日期、性別、夥伴與從屬關係、偏好等。事實上,作爲全球酒店行業巨頭,萬豪中招顯然不只這“輕描淡寫”的一次。
2018年11月,萬豪國際集團發佈聲明,稱旗下喜達屋酒店的客房預訂數據庫被黑客入侵,曾在該酒店預定的最多約5億名客人的信息或被泄露。據悉,本次黑客攻擊是自雅虎宣佈大約30億用戶的信息被黑客竊取以來規模最大的一次。消息公佈後,當日萬豪集團股價較前一交易日下跌5.59%。
2008年,溫德姆酒店集團遭遇黑客襲擊,造成了50萬張信用卡賬戶流出。接下來兩年,溫德姆又遭受了兩次攻擊,造成5萬多張信用卡和借記卡賬號失竊。系列信息泄漏給該公司帶來了1060萬美元的罰款。
2015年年底,希爾頓酒店集團被爆出兩起黑客攻擊事件,360萬條客戶信用卡信息遭泄露。事件曝光後,希爾頓酒店與美國兩個州達成了70萬美元的“庭外和解”,爲客戶信息泄露帶來的損失買單。
2018年8月,華住酒店集團被爆旗下漢庭、桔子、全季等酒店開房信息遭泄露,並在境外黑市售賣。爆料稱,截止到2018年8月14日,泄漏數據共140G,範圍包括:官網註冊資料約1.23億條記錄;入住登記身份信息約1.3億條;酒店開房記錄約2.4億條。9月17日,華住發佈公告稱,涉事嫌疑人已被緝拿歸案。
2018年11月,麗笙酒店集團的麗笙獎勵項目的部分會員信息被曝出由於黑客攻擊而發生泄漏,集團分佈在全球的1100多家酒店未能倖免。麗笙方面表示,已確認被黑客訪問的數據包括會員姓名、住址、電子郵箱地址,及部分會員的公司名稱、電話號碼、會員編號等,不涉及任何信用卡或密碼信息。
除酒店本身以外,作爲產業鏈下游的第三方酒店預訂平臺,也不可避免成爲黑客攻擊的重點。
2016年6月,日本最大的旅遊公司JTB Corp稱,公司793萬條護照、家庭住址和電子郵箱地址信息遭竊取;2018年3月,在線旅行社Orbitz表示,平臺系統泄露了2016年1月至2017年12月有過預訂記錄的賓客個人信息,泄露了約88萬張銀行卡信息;而全球著名酒店預訂平臺Booking 也因易於泄露信用卡信息而爲人詬病。雖然官方並未承認,但關於在 Booking 上訂了酒店後支付卡被盜刷的投訴屢見不鮮......
相繼“中招”背後 癥結何在?
可以看到,伴隨市場整體規模的不斷擴大、行業在線化率的持續提升,以及新時代下企業對精細化運營重視度的不斷提升,各旅業的用戶數據呈幾何倍增長,大量的歷史訂單和用戶數據,形成了旅遊企業最爲核心的線上資產。
而硬幣的另一面則是,作爲消費升級的代表,旅遊用戶數據的價值挖掘潛力巨大,這也成了其用戶數據頻頻遭竊的大前提。在業者看來,近年來旅遊企業用戶數據泄漏事件層出不窮,且整體趨勢愈演愈烈。離不開以下幾個原因。
首先,伴隨旅遊企業的數字化轉型,大量業務互聯網化,用戶業務數據和個人數據被在線統一收集、交易和存儲,一旦網絡安全保障能力和數據防護意識不足的話,容易受到黑客的攻擊入侵,竊取數據;加上涉及到龐大的管理系統及各種接口等,進一步增加了出錯的可能性。除此之外,也不排除存在內部人員監守自盜的可能性。
以國泰航空大量用戶數據遭竊爲例,據 ICO 調查,國泰航空存在很多基本的安全問題,使得黑客輕鬆獲得了訪問權限,例如備份文件沒有密碼保護、服務器沒有應用補丁、防病毒保護不足等。
ICO 調查主管史蒂夫·埃克斯利表示:“國泰航空系統中基本的安全缺陷數量衆多,甚至有些安全措施遠低於標準,從最基本的角度來看,該航空公司未能滿足國家網絡安全中心基本網絡要求的五分之四。”;至於希爾頓酒店中招的原因,紐約互聯網和技術局的調查人員同樣認爲,其數據安全防護力度遠遠不夠,也沒有遵守支付卡行業數據安全標準(PCI DSS)。
其次,部分企業爲提高自身的市場競爭力,精準定向向用戶推銷業務,通過從黑客或竊取者手上購買、交易等不法方式,獲取大量用戶數據。
由於低頻與高客單價的行業屬性使然,旅遊業的獲客成本逐年高企,加之受互聯網流量紅利到頂的影響,流量焦慮成爲擺在每家旅企面前的首要難題。爲了攫取更爲廉價的流量,或自主下水或通過中介,各類違規操作一直在暗流涌動;
再者,儘管相關監管政策在不斷收緊,但從現實來看,個人信息隱私保護、數據安全保護等法律法規仍不夠完善,這造成不法犯罪分子有恃無恐,與此同時,仍然有很多企業未真正重視和履行網絡安全保障義務。
以華住此前發生的旗下酒店數據、客戶信息疑遭泄露事件爲例,儘管牽涉用戶數巨大,但監管的跟進效率與懲處力度似乎並不與其影響相匹配。而中國旅遊飯店業協會發布倡議書,倡導全體會員自覺遵守憲法、法律、法規和國家政策,加強網絡安全建設,同時,堅決反對任何傳播、出售或泄露旅客住宿信息的行爲。這種僅靠協會發起的自律號召,同樣顯得力度不足。
而談到企業對用戶數據安全的重視,客觀而言,數據防控是一項需要加大技術投入、長期運營的工程,要重新部署,費時、費力、費錢。尤其對於中小企業來說,更是不可承受之重,此前,Booking中國區總裁馬佳透露,由於沒有全球統一的數據保護規定,數據保護需要高昂成本,最大的投入在於研究並協調各國不同的數據保護規定所需的律師費,在很多科技公司,最大投資不在科技研發,而在數據保護所需的律師費,一些新興公司可能無力負擔高昂的律師費。
而就算有能力承擔費用,但在短期回報與長線投入之間,巨頭同樣會作出更符合“當下利益”的抉擇,以萬豪因數據泄漏遭消費者集體訴訟爲例。訴訟指出,萬豪提出的一年信用監控計劃是不夠的,因爲它無法保護客人的個人信息免受長期威脅。
可以看到,旅遊行業的鏈條冗長,涉及到企業內外部系統間的數據流轉交互頻繁,而一個小小的終端漏洞,或許會給企業自身乃至整個行業帶來巨大的輿論壓力;另一方面,想要做好數據安全工作,對於企業來說是壓力不小,更何況,互聯網安防領域本就沒有絕對的數據安全。
儘管此間挑戰與困難重重,但這不能成爲旅遊企業逃避潛在問題與責任的藉口,畢竟消費者是無辜的。尤其是對於已經“中過招”的酒店而言,後續的公關和補救措施則顯得尤爲重要,以避免在同一個地方反覆跌倒。從現實看,行業用戶數據的整體防護形勢正迎來新變化。
2019年,大數據行業密集發生的醜聞不斷出現在公衆視野:先是“315”晚會集中曝光的大數據黑色產業鏈,後有號稱擁有全國最大數據庫的招聘類數據公司巧達科技被爆利用爬蟲手段獲取簡歷中的用戶信息並變現。與此同時,包括《數據安全管理辦法(徵求意見稿)》以及《網絡安全審查辦法(徵求意見稿)》、《兒童個人信息網絡保護規定(徵求意見稿)》等在內,一系列關於互聯網隱私保護、個人信息安全的監管辦法也相繼推出,箇中趨勢不言自明。
總的來講,站在企業運營的角度,水面之下的投入理應“適可而止”就好,畢竟對於那些低概率或者低頻次的負面事件,追求高效的成本管控更真實和可預期;但圍繞核心的用戶價值創造與品牌長效建設,企業終會迎來與之相匹配的回饋。
往期精彩內容
行業▽
中臺搞了2年,項目叫停,CIO被裁!本以爲中颱是道送分題,沒想到是送命題!
觀察▽
翻完UCloud、QingCloud兩家招股書後,我們發現“雲計算”是場持久戰
遠程辦公常態化,網絡安全迫在眉睫,“零信任安全”的風口到了嗎?
趨勢▽
