周鸿祎谈酒店信息泄露 三大观点直击安全要害
"成也萧何,败萧何"。
非要给近期频频爆发的信息泄露事件一个标签。这句话成语在合适不过。
随着信息技术、人工智能等高新技术的出现,人们的生活变得越来越便捷高效,同时也越来越透明化。
在大数据面前,人更像是一个"透明人"。在安全保护之下,这个透明人活在大数据的虚拟世界里;一旦个人信息被泄露,这个透明人只能裸露于大庭广众的众目睽睽之下。
大数据泛滥 ,你随时可能"裸奔"
8月28日,一张"黑客在黑市出售华住酒店集团客户数据"的截图,在各大社交平台流传开来。该黑客声称,8月14日已获取华住集团旗下所有酒店的住客数据,包括官网用户注册数据1.23亿条,旅客入住登记的身份信息1.3亿条,及详细开房记录约2.4亿条;并以8个比特币(约5.6万美元)或520门罗币的价格出售。华住集团官方回应,已启动内部自查并报警。同时,上海警方已介入调查,表示将始终严厉打击非法获取、买卖、交换、提供公民个人信息等违法犯罪行为。而这已是华住集团第二次被卷入信息泄露事件。国内安全漏洞监测平台乌云(WooYun.org)早在2013年就发布报告称,如家、汉庭等大批酒店的开房记录被第三方存储,并且因为漏洞而泄露。在酒店行业,几乎每年都会被爆出信息泄露或者被黑客攻击的问题,涉事酒店不仅仅有经济型酒店,大批国际酒店集团也在名单之中。
然而,一波未平一波又起。
日前有媒体报道称,有人在"暗网交易市场"网站上以两个比特币为标价出售"3亿条顺丰快递客户数据",顺丰卷入"泄露门"。针对"疑似顺丰3亿条数据被泄露"一事,顺丰于9月1日表示,已第一时间报警,经技术手段交叉验证,暗网所售数据非顺丰数据。
大数据泛滥 ,你随时可能"裸奔"。裸奔的不止是个人,也有可能是企业。不法分子从中渔利。
有媒体曾爆出"携程收款账户被更改,11省市18家酒店账户被'调包'"新闻。事件缘起于去年7月,曾在酒店公寓做酒店管理工作的王某,辞职在家,无意间上网时发现有一名网友贩卖的商品中,含有大量携程网合作宾馆、酒店在携程ebooking酒店管理系统中的账号、密码及用户信息等数据。随后,她以200多元人民币的价格,买下该商品,后一个个登录尝试。令她惊喜的是,其中多数账号和密码都是对的。王某使用上述账号、密码等数据,在携程ebooking酒店管理系统,逐一登录,并冒用这些宾馆、酒店的名义,把自制的"酒店银行账户通知函"及毕某等人的身份证信息发送给携程网,将上述宾馆、酒店预留在携程网用于结算房费的收款账户,更改为毕某等人的银行账户。在上述账户变更后,上述宾馆、酒店与携程网的结算款,全部进入了王某的腰包。经查,去年8月至9月,王某利用上述方式,共诈骗江苏、上海、湖南、黑龙江、河南、重庆等11个省、市的18家宾馆及酒店结算房款共计26万余元。
管理不好大数据,受伤可不止一人。
"安全卫士"周鸿祎谈信息泄露
9月4日召开的2018ISC互联网安全大会上,360集团董事长兼CEO周鸿祎也对近期频发的信息泄露事件发表了自己的看法。
1、从来都不住 就怕猪一样的队友
周鸿祎在谈酒店信息泄露时表示,这里面甚至有很多人都是不可信的。人会有漏洞,人变成会造成漏洞,即使你有很好的安全规则,即使你有很好的安全设备,但是很多内部人还是会犯一些比较初级的错误。所以不怕神一样的对手,就怕猪一样的队友。人会犯错误,就会给网络安全带来致命的伤害。关于5亿条酒店信息泄露的事,"我从来都不住这些酒店"。
2、事后处理善后没有意义
在新京报会后采访中,周鸿祎表示,对于用户隐私泄露事件,需要提前作出预警,一旦等到数据泄露之后,再去处理善后其实是没有意义的。"我们研究过所有安全事件,最后归根到底再天大的事件都是从攻击一个很小的终端开始。"
周鸿祎解释,某酒店的用户隐私泄露可能存在两种情况,一是企业 App 访问后台数据库的接口存在安全漏洞,这个漏洞可能被别人利用;二是企业内网出现问题,黑客针对企业的某个员工或网管进行有针对的攻击,在员工的个人电脑上做了手脚,再通过其电脑拿到服务器口令。
3、希望用安全大脑和同行合作应对安全问题
周鸿祎认为,安全威胁挑战不断加大,未来应该依靠大数据加人工智能,打造安全大脑,这是未来五到十年应对安全威胁的技术思路和方向。
在上届互联网安全大会上,周鸿祎首次提出了"大安全"的概念。他认为,网络安全已不仅仅是网络本身的安全,更是国家安全、社会安全、基础设施安全、城市安全、人身安全等更广泛意义上的安全。在大安全时代,各种新的威胁层出不穷,网络攻击手段更加高明,攻击形式更加多样化。今天大家都将面临的一个窘境:过去的很多技术方法、战略指导思想都不管用了。这就需要提出一个新的解决之道,把全球网络大数据整合起来,用更智能、更整体的维度去观察和应对安全局势,这就是安全大脑。
这是则广告,也是个方向。
据了解,今年5月,360集团推出安全大脑,其综合利用人工智能、大数据、云计算、IoT智能感知、区块链等新技术,具有感知、学习、推理、预测、决策五项核心能力。360安全大脑通过数以亿计的传感器持续采集最新的安全大数据,然后将数据源源不断传输到安全大脑的云端,进行存储和计算,并利用大数据和人工智能技术实现对网络威胁的自动化、智能化响应和处置。
"安全大脑是一个概念,也是一种思维方式、一个方向,它是360提出来的,但并不是360独有的。"周鸿祎说,360愿意开放经验、数据与技术,与业界共同把安全大脑打造成信息领域的核心技术,360与网络安全公司不是竞争关系,而是它们的赋能者。
三个观点三条启示
周鸿祎从一个酒店行业的外围视角解读了近段时间的信息泄露问题,同时也提出了自己的解决方案。他所提出的的三个观点应该对酒店行业有所启发。
1、管好你的人
按照周鸿祎的观点,人是会有bug的、有漏洞,不管是主观上还是客观上,人都不应该是100%被信任的。
对于操控信息、大数据的人来说,必须给予严格的训练、监督,甚至职业操守方面的教育和监管。
2、功在平时
千里之堤溃于蚁穴。
任何问题的爆发肯定不是一蹴而就的,就是高楼大厦平地起非一日之功,轰然倒塌也一定事出有因。
酒店对于信息安全的问题,首先态度要端正,必须给予防范,做好日常的检修和维护、升级。
别等黑客钻你的空子,直捣黄龙。
尤其是酒店信息泄露事件,每年都会丑闻被爆出,每年都会掀起轩然大波,每年都会有事后反思,但是问题的处理……
3、技术合作、数据共享
对于安全事件,周鸿祎用360的产品给出了一个方向和解决方案--技术合作、数据共享。不管是主动还是被迫,很多酒店也将自己和客人的"安全"交付给了第三方。这是时代特征也是经营压力所迫。
"酒店偏向于传统行业,在走向互联网化的过程中,技术上难免会出现'跟不上'的情况。"一位不愿具名的互联网安全专家指出,如果酒店类企业自己做与酒店相关的互联网业务,开发成本很高,因而多数酒店会选择第三方服务。在信息化推动酒店行业发展的过程中,难免会出现很多问题。
值得提醒的是:安全无小事,客人的隐私是大事。未来酒店在考虑运营成本的时候,必须将"安全"因素设计在内,甚至增大投入成本。
试问:"底裤"都没有了,谁还敢来你的店消费?
(部分内容综合自新京报、千龙网、新华社等多家媒体报道)