万豪资料失泄 分析:或属情报收集(图)
发布 : 2018-12-10 来源 : 明报新闻网 用微信扫描二维码,分享至好友和朋友圈 | 加关注  明声网温哥华 微信公众号 |
万豪于上月底公布用户资料外泄,该批资料涉及逾3亿人的护照号码、电邮和电话号码等,以及近2亿人的信用卡号码及到期日。图为美国一间万豪酒店外。(法新社)
有分析指出,被盗的信用卡资料受到加密,即使有不法分子找到破解方法,未经授权的交易容易被撤销;反而更严重的是,当不法分子使用其入侵系统所得的住客地址、出生日期、护照号码及其他敏感信息,以其名义开设新帐户,因此建议受影响住客立即冻结信贷,认为是最佳打击身分盗用的方法。
事件可追溯4年前 上月底始公布
住客人人自危,万豪亦自身难保,纽约检察长安德伍德(Barbara D. Underwood)、联邦调查局(FBI)和欧盟监管机构等已就万豪被骇一事展开调查,集团势面对巨额罚款和国际集体诉讼。鉴于今次外泄的资料数量和敏感程度,以及通报事件的时间,万豪可能触犯欧盟今年才刚实施的《一般数据保护条例》(General Data Protection Regulation),成新例下的「第一滴血」,企业一旦违反可被罚款高达全球收入的4%,而且法例规定企业知悉事件后要在72小时内通知当局。讽刺的是,万豪本身有及早化解危机的机会,喜达屋曾通报个别餐厅和礼品店的收款系统被装上恶意软件,以盗取信用卡资料,而通报时间正于2015年——被万豪收购的4天后。
雅虎美国以色列已赔6.6亿
虽然今次万豪的个人资料外泄规模,与雅虎电邮门的数量「仍有一段距离」,但已远高于去年美国消费信贷资料收集公司Equifax遭黑客盗去逾1.45亿人的资料,估计其有关赔偿金额可高达4.39亿美元(34.2亿港元)。至于在2013年遭黑客入侵的雅虎,波及全球约30亿电邮用户,直至2016年底才公开证实事件,而经过历时2年的集体诉讼,Yahoo同意向美国和以色列主要受影响的2亿用户,赔偿5000万美元(3.9亿港元)和3500万美元(2.7亿港元)讼费。
与美政府部门被骇时间相若
由于喜达屋订房数据库被入侵的时间,与美国健康保险公司、联邦人事管理局(OPM)被黑客攻击事件时间大致相近,故有网络安全公司和政府官员认为,住客资料或是间谍的潜在目标,用作建立庞大个人资料库,但其他专家尚未能确定彼此关连。网络安全公司Recorded Future、网络保险公司Coalition都指出,暂时未发现有关个人资料在暗网(Dark Web)上出现,暗网泛指只能用特殊软体和授权、或对电脑作特殊设定才能存取的网络内容,反映涉事黑客可能不打算转售资料图利。网络安全专家 James A. Lewis称:「一般情况下当被盗个人资料未有出现(在暗网),意味有国家级机构收集作情报用途。」
近年酒店业成为国家级黑客的热门目标,以取得情报机构感兴趣的国家元首、外交官和企业行政总裁的行踪和偏好。酒店住户资料数据量庞大,足以建立大型个人资料数据库,对普通黑客可能实际用处不大,对政府而言却极其有用。例如个人资料可投入到国家安全机构运行的分析程式中,原理就如企业运用大数据进行针对式市场推广,政府可以借助住客资料,查明其他国家情报人员的行踪, 例如查出他们是否留在同一酒店,作为他国的潜在情报来源。今次事件亦触发了立法层面的关注,有美国民主党议员称,以往美国只实施个人资料保安条例,规定企业要拨款作网络安全开支,而非令企业承担为消费者所带来的负担和伤害;但这次是另一例子证明美国需要个人资料私隐条例,以惩罚未能保障客户私隐的公司。