3月31日，万豪国际在其官网通报了一起数据泄露事件，2020年1月，两名员工访问了酒店系统获取客户信息，其中包括姓名、电话、个人详细信息等，但其中可能不包括支付信息、身份证号码等。万豪方面表示，目前已经通知当局并支持调查，并已向受影响的客户发送电子邮件。腾讯安全专家表示，非法获取公民个人信息黑产并不少见，这些数据可能会用来进行广告推销、恶意营销、盗刷、电信网络诈骗、敲诈勒索、骗贷、洗钱等。企业需要进行相应管理制度，并落地解决方案，保障用户信息安全。

万豪520万名住客信息被泄露 身份证信息或不包括在内

万豪的官网通报显示，万豪品牌经营和特许经营的酒店使用一款APP来帮助向酒店的客人提供服务，2020年2月底，万豪发现，两名员工可能在未经允许的情况下，访问了大量的访客信息。这项访问应该开始于2020年1月中旬。

目前，万豪已经将这两名员工的登录权限禁用，并且立即开始调查，实施了加强监控。

万豪表示，被泄露的信息可能涉及520万名住客，包括：联系方式（例如，姓名，邮寄地址，电子邮件地址和电话号码）、会员帐户信息（例如，帐号和积分余额，但不包括密码）、其他个人详细信息（例如，公司，性别和生日日期和月份）、伙伴关系和从属关系（例如，关联的航空公司忠诚度计划和人数）、偏好（例如，住宿/房间偏好和语言偏好）。

不过，万豪认为，尽管调查仍在进行中，但目前认为此次泄露的信息不涉及万豪Bonvoy帐户的密码或PIN，支付卡信息，护照信息，身份证号或驾照号码。

目前，万豪酒店正在向所涉及到的客人发送电子邮件，邮件里包括客人可以采取的一些步骤。

万豪还表示，公司提供了网络保险，目前正在与保险公司合作评估承保范围。公司目前认为，与该事件相关的总成本整体可控。

万豪2年内发生2起重大隐私泄露事件 此前已被罚款1.24亿

据悉，这已经是万豪近2年内发生的第2起重大个人隐私泄露事件。万豪旗下喜达屋中3.83亿名宾客的个人信息被泄露，另有525万名宾客的护照号码、910万个加密的支付卡号以及当时仍有效的38.5万张卡号被窃取。该事件使得万豪被应该政府罚款1.24亿美元。

此外，还有一些集体诉讼正在进行中。

当时，万豪国际总裁兼首席执行官阿恩·索伦森表示：“们对发生这一事件深感遗憾。我们非常重视客人信息的隐私和安全，并将继续努力，以满足客户对万豪酒店的高标准期望。”索伦森还表示，万豪已经淘汰了受入侵的喜达屋预订系统。

专家：非法获取公民信息黑产链条包含4个环节

腾讯安全数据安全团队负责人彭思翔表示，目前事件正在调查中，尚不确定万豪事件的具体情况。不过，非法获取公民个人信息黑产并不少见。

从整体来看，这一黑产链条包含四个步骤：数据服务商——数据清洗商——技术供应商——犯罪实施者。

数据服务商主要通过三种形式非法获取公民个人信息，并进行进一步交易。第一种，企事业单位或电商、房产中介、快递等服务业合法采集/获取公民个人信息后，有“内鬼”与数据服务商交易。第二种是通过黑客入侵方式窃取（黑产界称“拖库”），或者收集泄露信息后尝试批量登录其他网站（黑产界称“撞库”）获取更多、更精准信息。第三种是编造理由或者伪造钓鱼链接等诱骗当事人主动提供/输入个人信息。

数据清洗商是购买大量公民个人信息数据/社交软件帐号密码，通过晒密等技术手段进行验证和清洗，使数据更加精准。

技术供应商则是提供黑客入侵软件等工具，以及撞库、晒密等相关技术支持与服务。

犯罪实施者则是购买公民个人信息后，进行广告推销、恶意营销、盗刷、电信网络诈骗、敲诈勒索、骗贷、洗钱、绑架等。

彭思翔说，在数据交易黑产交易链条中也不一定包含上述全部环节，有时候数据服务商获取数据后也会通过暗网等交易平台直接流转至犯罪实施者手中。数据的价格主要是根据数据质量和鲜活程度来决定的。历史数据一般打包出售，上万条甚至只卖几块钱，鲜活的数据可以卖到每条几块甚至十几块，一些定制的高价值数据如身份信息、学历、车票、银行流水等可以卖到每条数十至上千元。

他表示，腾讯安全为数据全生命周期安全提供相关的产品建设与解决方案。其中很重要的一点就是数据安全梳理。针对自己企业数据情况不同的阶段，首先要了解自己有什么数据，存在哪些环节，数据流动情况怎么样，谁在访问这些数据，可能会流向何方。根据数据的具体情况，需要对照自身法律法规、等保合规的差距项，尤其是在个人隐私数据方向，是否有GDPR的需求、国内的等保合规等等。把这些差距项明确后，企业尽可能得出需要做到的控制点，比如在整个的生命周期、每个控制流程中，需要一个底层的管理制度，规定谁可以去用这些数据，受到怎么样的监管，并据此落地解决方案，比如数据库的保护、访问数据库安全的访问代理等等解决方案，来保护数据安全。

文/北京青年报记者 温婧
编辑/樊宏伟