近日,全球11個(gè)國家的41家凱悅酒店支付系統(tǒng)被黑客入侵,大量數(shù)據(jù)外泄。被泄露信息包括住客支付卡姓名、卡號、到期日期和驗(yàn)證碼。本次受影響最大的凱悅酒店數(shù)量位于中國,共有18家。這是自2016年1月后,該酒店集團(tuán)發(fā)生的第二次嚴(yán)重?cái)?shù)據(jù)泄露事件。
一、泄露事件分析
1、潛在安全隱患
關(guān)于信用卡使用習(xí)慣,中外有別,在外國,使用信用卡刷卡消費(fèi)時(shí),既不需要輸入支付密碼也不需要接收手機(jī)驗(yàn)證碼,甚至不用帶卡片,只需要提供卡號、日期和簽名欄末尾3位數(shù)驗(yàn)證碼即可順利完成支付。由此可知,卡片信息一旦遭到泄露,持卡人很可能面臨資金和信用損失的雙重風(fēng)險(xiǎn)。本次凱悅酒店支付卡信息泄露,這些卡片信息極大可能會(huì)流入黑市,繼而伴隨欺詐交易出現(xiàn),對酒店客戶的用卡造成極大的安全隱患。
2、泄露過程還原
那么,酒店系統(tǒng)的支付卡信息是如何遭到泄露的呢?通常,酒店管理系統(tǒng)為覆蓋大量用戶數(shù)據(jù)信息的龐大IT系統(tǒng),可能會(huì)涉及大量第三方參與系統(tǒng)開發(fā)與運(yùn)維支持。因此,不僅容易引來外部黑客攻擊竊取數(shù)據(jù),也很容易出現(xiàn)第三方支持人員或者內(nèi)部人員在與系統(tǒng)親密接觸環(huán)節(jié),植入惡意軟件代碼這種“夾帶私貨”行為,從而利用系統(tǒng)漏洞取得數(shù)據(jù)庫訪問權(quán)限。據(jù)悉,此次數(shù)據(jù)泄露的原因正是第三方惡意軟件代碼被注入一些酒店IT系統(tǒng),通過酒店管理系統(tǒng)的漏洞獲取數(shù)據(jù)庫的訪問權(quán)限,從而提取酒店客戶的支付卡信息并解密。
3、暴露的安全缺陷
實(shí)際上,數(shù)據(jù)泄露的根源在于酒店的數(shù)據(jù)管理體系出現(xiàn)了缺陷。想要徹底杜絕這種現(xiàn)象,最為有效的方式,就是對核心敏感數(shù)據(jù)進(jìn)行加密存儲(chǔ)。而通常,支付卡的卡號和有效日期等都以某種加密格式存儲(chǔ)在酒店管理系統(tǒng)的數(shù)據(jù)庫表中,攻擊者以非法方式獲得數(shù)據(jù)庫訪問權(quán)限后,即使拿到數(shù)據(jù),也只是一堆沒有解密的密文數(shù)據(jù),而想要破解密文數(shù)據(jù),關(guān)鍵是獲取密鑰。本次事件中,攻擊者利用漏洞獲得數(shù)據(jù)庫訪問權(quán)限之后,不僅提取了數(shù)據(jù),而且對數(shù)據(jù)進(jìn)行了解密,可見,系統(tǒng)的密鑰管理機(jī)制存在問題。也就是說,系統(tǒng)出現(xiàn)了自主可控安全方面的缺陷。我們知道,如果系統(tǒng)采用的是商密算法或數(shù)據(jù)庫自身提供的加解密及密鑰管理機(jī)制,會(huì)很容易存在被破解的風(fēng)險(xiǎn),同時(shí),又無法真正限制高權(quán)限用戶。
二、安全建議
數(shù)據(jù)被加密之后,密鑰是數(shù)據(jù)解密的關(guān)鍵。選擇能夠真正保障數(shù)據(jù)存儲(chǔ)安全的加固措施和產(chǎn)品——安華金和的數(shù)據(jù)庫加密產(chǎn)品DBCoffer。1、確保自主可控安全。
DBCoffer采用國家密碼局認(rèn)證、備案的加密設(shè)備,支持國密局指定的SM4對稱加密算法,具備獨(dú)立于數(shù)據(jù)庫的密鑰管理體系,保證密鑰不出設(shè)備,確保數(shù)據(jù)即使被拖庫,依然安全。
2、三權(quán)分立機(jī)制。
DBCoffer的三權(quán)分立機(jī)制,確保實(shí)現(xiàn)DBA、安全管理員和審計(jì)管理員權(quán)責(zé)分離,做到相互監(jiān)督、相互制約。
3、具備獨(dú)立的權(quán)限體系。
可實(shí)現(xiàn)基于密文的增強(qiáng)訪問權(quán)限控制,防止DBA及高權(quán)限用戶對敏感數(shù)據(jù)進(jìn)行訪問。所有數(shù)據(jù)庫用戶想要訪問密文數(shù)據(jù),必須經(jīng)過授權(quán)。
4、應(yīng)用身份鑒別。
DBCoffer可以實(shí)現(xiàn)應(yīng)用系統(tǒng)、應(yīng)用用戶和數(shù)據(jù)庫用戶的綁定,只有受信的應(yīng)用通過授權(quán)的應(yīng)用賬戶才具有密文訪問權(quán)限,防止數(shù)據(jù)庫用戶口令泄露后,繞開合法業(yè)務(wù)系統(tǒng),對數(shù)據(jù)庫直接訪問。
三、提醒
作為酒店的消費(fèi)者,我們無法提前預(yù)知和應(yīng)對酒店管理系統(tǒng)缺陷所帶來的數(shù)據(jù)泄露風(fēng)險(xiǎn),但是作為信用卡用戶角度來說,我們卻可以提前預(yù)防和有效應(yīng)對數(shù)據(jù)泄露后的安全隱患。
1、首先,不要將信用卡隨意交給別人,保護(hù)好自己的信用卡信息;不要將卡號、有效期、驗(yàn)證碼等信息記錄在電腦里,以防被黑客攻擊盜走信息。
2、給信用卡設(shè)置短信提醒,賬戶內(nèi)金額一旦發(fā)生變化,銀行會(huì)及時(shí)發(fā)來提醒短信,如果出現(xiàn)盜刷情況,可立即向銀行和公安部門報(bào)案。信用卡丟失后,立刻撥打銀行客服電話掛失。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長
- 美媒聚焦比亞迪“副業(yè)”:電子代工助力蘋果,下個(gè)大計(jì)劃瞄準(zhǔn)AI機(jī)器人
- 微信零錢通新政策:銀行卡轉(zhuǎn)入資金提現(xiàn)免手續(xù)費(fèi)引熱議
- 消息稱塔塔集團(tuán)將收購和碩印度iPhone代工廠60%股份 并接管日常運(yùn)營
- 蘋果揭秘自研芯片成功之道:領(lǐng)先技術(shù)與深度整合是關(guān)鍵
- 英偉達(dá)新一代Blackwell GPU面臨過熱挑戰(zhàn),交付延期引發(fā)市場關(guān)注
- 馬斯克能否成為 AI 部部長?硅谷與白宮的聯(lián)系日益緊密
- 余承東:Mate70將在26號發(fā)布,意外泄露引發(fā)關(guān)注
- 無人機(jī)“黑科技”亮相航展:全球首臺(tái)低空重力測量系統(tǒng)引關(guān)注
- 賽力斯發(fā)布聲明:未與任何伙伴聯(lián)合開展人形機(jī)器人合作
- 賽力斯觸及漲停,汽車整車股盤初強(qiáng)勢拉升
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。