黑客猖獗跋扈隐私屡盗屡卖：谁之痛？

旅游迈点网 2018-09-06 18:31

希望我们用法律的力量，用行业的力量、用社会上诸多网安科技的力量、用我们的良知来抵制黑客的攻击。

8月28号，一则华住酒店集团客户信息被盗卖的信息如石破天惊震动了坊间，继而引起了整个社会的关注，舆论哗起。

对互联网的安全性和个人隐私裸奔的担忧;感叹黑客神秘无敌防不胜防、同情或指责酒店集团屡屡中枪，质疑信息系统安全措施或企业责任何在的声音充斥于耳。

如果我们把视野放大一圈，8月28号当天，西班牙央行网站受到黑客攻击，几经瘫痪;也是同一天，巴西人气极高的加密货币网站被黑客攻破，几十万名客人数据被掳走。黑客中外猖獗。

若把视线回调，这几年中国住宿业信息系统遭黑客攻击，信息泄露的事件也记忆在心，2012年、2015年七八家酒店集团开房信息泄露;2017年，凯悦集团支付系统被入侵，客人信息被泄露。中国酒店业从中资到外资，从大品牌到小集团，无有幸免。互联网黑客攻击、数据盗卖已如缠身的痼疾困扰着中国的住宿业和整个社会。

8月28号“华住”事件是黑客这个黑色产业链对社会的叫嚣和公然的挑战。

在没有得到警方和华住集团的最后调查结果之前，我们无法认定事件的真相，如果假定新闻的报道为真，那么这是一次非常严重的黑色产业以利益驱动向国家法律、社会道德底线和互联网公众利益挑战的事件，必须予以强烈的谴责。

黑客集中攻击住宿业信息系统的内在动力何在?

一方面在于酒店住宿业数据价值高，一旦窃取，可带来巨大的利益。特别是酒店住宿客人注册信息，几乎包含完整的消费肖像信息，可以被许多相关行业引用。另一方面，住宿业相对于银行业其重要性偏低，攻击住宿业的风险远远小于攻击银行业，因此尽管同样的信息在银行系统也有，但银行受攻击机会相对少许多;同时银行业信息系统属于金融级，其抗黑客的能力无论在硬件还是软件及防范意识和流程上确实比住宿业要强。

黑客的逐利性也是其攻击住宿业重要原因。

从互联网诞生的那天起，黑客攻击就如影随形地逐渐形成一套完整的产业链，甚至可以说，在电子商务形成之前，黑客的产业利益交换已经非常发达。盗卖信息只是这个黑产链的一个点，比如数据买卖，包括网站数据库，信用卡数据、酒店或其他行业客户数据、银行账户数据、邮箱及社交媒体账户数据等等;流量交易，包括网络博彩、寄生群网站、广告、社区刷屏作弊;僵尸服务,比如提供远程访问木马、DDos攻击、非法控制网站服务;黑色服务，比如提供和销售各类证件及相应的网上查证、数字证书、虚假杀毒软件;私服外挂等。

并且随着信息技术的不断升级，黑客技术也快速迭代。当云计算成为当今平台应用的主流时，黑客也相机利用商业云平台的特性，对目标用户进行攻击，比如从2016年起，著名的AWS受到攻击的频率陡然增加，为云平台的安全应用也蒙上了一层阴云。

可以说，黑客攻击的根本原因，就是为了获取黑钱。以这次事件为例，出售所谓的酒店集团数据库，网络叫价就达8个比特币，相当于35万人民币。设想如有10个、20个买手或者更多，其获利将是一本万利的。利益驱动着黑客的犯罪动机，冒着犯法的风险顶风作案，中国如此，世界如此。据知情专家，一个黑客的年收入，最低也有40-50万元，已经远远超过一个资深IT工程师的薪资水平。有人估计，全球黑客产业链达到上万亿美元产出，中国没有权威的估计，一般估算其规模也在上千亿的范围。

黑客的产业交易一般都在暗网上进行。暗网是一种用百度、谷歌之类的浏览器无法搜索和阅读的网站，只能用诸如Tor洋葱专用浏览器进行搜阅。暗网上的信息量巨大，远远超过常用的WEB网站，其中大多数为见不得人的黑暗犯罪交易，并且全部用比特币等匿名货币进行结算，隐蔽性很强，抗追溯和查询度极高，从而保证了这类黑暗交易的安全性。

因此，指望黑客善心大发，洗黑为白，立地成佛是不可能的，唯有祭起法律的神器和提高防黑客的能力，才能防范、拒敌。

住宿业有无可能一劳永逸建起防堵黑客攻击的防火墙?

华住事件发生后，许多酒店经理和业主问我，住宿业信息盗卖事件屡有发生，国内外都有深刻的警示案例，为什么不能举一反三，采取有力措施予以杜绝?

很多行业的IT工程师也感叹，我们在平台的安全性能上投入的大量的财力、物力和人力，采购了大量的防火墙和安全策略，添置了众多的安全设备，为什么仍然挡不住黑客的攻击?

这是一个非常好的问题也是行业内诸多CIO苦苦追求的目标，然而答案并不明朗。

就拿此次中枪的华住集团而言，华住集团在数字化创新和安全上投入了巨资的，因而赢得了酒店业移动互联网应用的头牌交椅。在集团强大的信息技术支持下，其业务拓展一马平川，因而其集团市值成为排行世界第三的国际性大型酒店企业。华住集团并非外行人想象的只精通于传统的住宿业，华住创始人季绮将集团定位为“最懂酒店业的科技公司”，他们深刻明白信息技术和信息系统对华住集团的意义，因此，每年在信息化的投入是巨大的，仅在安全平台上的投入就将近上千万元。华住集团拥有强大的信息平台开发和维护能力，同时又有专业的安全团队保证集团内部和业务平台的安全运行;其内部的安全流程管控制度之全和严格也令所有到过华住的信息化专业人士所感慨。华住的CIO也是一位具有相当战略思维、熟悉酒店业务和很高技术造诣的技术派人士，其在移动互联网应用创新和智慧酒店建设等方面走在了中国酒店业的前列，是受到行业公认的优秀CIO。与其他酒店同行，华住的信息化和平台的安全性无疑是可以圈点的。为什么，这样一家公司也会成为众矢之的卷进舆论的中心?

首先，黑客的盈利属性决定了的它的无孔不入和永不停止的特性，为了攻破一个个系统和堡垒，黑客同样在投入巨大的资源开发新的工具和攻击系统。黑客工具的迭代、创新一点不比互联网创新慢，更多的时候走在前面。当人们认识到云平台好处，纷纷将应用系统迁移到云平台时，黑客对云平台的攻击已经准备就绪，并且这种进攻并不基于云平台本身的漏洞而是巧妙地利用了云平台的特性。

其二，攻击的随意性和选择性自由融合，让企业平台无法以最优资源来抵挡黑客的攻击，只能平均分散资源守株待兔，防守的效用很低，黑客攻击的效用却非常高。许多集团面对众多的应用系统，无数的通讯端口，各种BYOD应用场景，根本无从重点布防。他们不知黑客会不会来，会进攻哪个系统，堡垒机要设置在哪里，防攻击策略应该设置在哪个层面上?而黑客则是有备而来，潇洒而去，别说处心积虑顺手牵羊收获也不小。就是攻击对象选择上，黑客完全可以凭借本人对品牌的感知而确定，一样攻击酒店集团，华住自然是“尧尧者易污，佼佼者易折”。所以，华住中枪几率高是非常容易解释的现象。

其三，所有的防黑客技术，包括防病毒，毫无例外都是基于对黑客行为的认知基础上产生的检测、拦截行为。从时间轴上观察，永远是先有黑客的“矛” 后有酒店的“盾”。当矛首先使用或盾尚未铸就时，黑客的攻击对我们来说就是一个梦魇。用专业的话来形容，就是“用有限对抗无限，安全注定永远落后一步”，即以有限对抗无限，用有限的认知，有限的时间，有限的资源，对抗无限的对手和无限的可能。这样的安全防护，注定永远落后一步。

其四，更何况，还有企业内部的因素。有无内鬼的策应?安全防护流程执行得如何，走过场的流程形同虚设，人为的疏忽或技术的瑕疵、误操作等多会造成系统的防备能力下降，甚至“大门洞开”。

因此，希冀毕其功于一役，在对付黑客攻击上是不现实的。只能相信“道高一尺魔高一丈”，坚持长期的、持续的、敏捷的、可迭代的防守策略，用几近“严防死守”的“人防+技防”的办法来最大程度地保障系统和信息资源的安全，这可是要累死CIO的苦差事啊!

住宿业数据屡屡被盗卖，谁之痛?

“华住”事件发生后，舆论哗然。

消费者无辜受害，个人隐私外泄，又十分无奈;

华住集团紧急反应，投入大量的力量应对危机;验证数据，查证事实。

各大酒店集团，包括民宿、餐饮、服务集团CIO们高度紧张，不知事实真相如何又恐“下一个”是myself。

各自媒体、传统媒体、网站兴奋无比，用一句比一句更富想象力的词语，充当专家描述事件，代替警方定性事件。

在事件调查结果出来之前，大多数已经纷纷把板子打向了酒店集团方。舆论中，鲜有谴责黑客的犯罪勾当的。仿佛一家遭到偷窃的家门前，围着一群人，纷纷指责房主锁不好、门不牢、人弱守等等，唯独不见指责盗窃者那般。

诚然，不论8.28事件是否为真，作为客人信息保管和拥有者的华住集团，自然是有一个定位责任，里外反思，亡羊补牢的过程。但平心而论，在这次事件中，酒店集团与客人一样，同样是痛之者。众所周知，在移动互联网时代，酒店的核心竞争力同样表现在客人的流量和会员的资源之上，华住之所以拥有如此高的市值，就在于其对这些核心资源的占有，而这些资源的形成乃是酒店人一招一式、一人一物，笑脸迎送等耗费了大量企业资源形成的。一旦这些资源流出，或将成为竞争对手的囊中之物。这对华住是极其不利的。

同样，对酒店、民宿、餐饮业的同行们。彼此没有五十步笑百步的资本，大家都明白，管好自己的系统和资源是头等大事，也是头等难事，更是无法推诿的头等圣事。

值得庆幸的事，舆论出现了新语，昨天中国旅游饭店业协会新闻发言人成尔骏表示，坚决反对任何传出售或泄露旅客信息的行为，对黑客行李旗帜鲜明地说不。中国饭店协会也将明确表示，坚决反对对酒店住宿业信息系统攻击和住客信息的盗卖，将组织科技力量行业集团对信息系统的安全性提供技术咨询和完善等服务;国内最大的住宿、旅行业CIO组织--中国酒店科技联盟(CHTA)明确呼吁加强《网络安全法》的执法力度、支持行业CIO联手抵制黑客攻击、支持华住集团调查事件，强化平台、增强内控，把信息管理提升到新的层次。等等。

住客信息隐私屡被盗卖，是中国网民之痛，中国住宿业之痛，也是中国互联网之痛。无论8.28事件结果如何，它总会过去;但我们不能就事论事，我们不能一痛再痛，我们要对客人高度负责，要对行业的信誉负责。此时，代表行业利益和意志的行业协会和专业协会有理由和场景来带领大家面对这个数次困扰我们的问题—系统平台安全和信息盗卖。

希望我们用法律的力量，用行业的力量、用社会上诸多网安科技的力量、用我们的良知来抵制黑客的攻击。

也希望社会的舆论更加成熟更加理智和温暖，与中国各大酒店集团、民宿、餐饮、旅行集团一起努力，让8.28华住事件成为中国住宿业信息安全的里程碑。

本文系迈点专栏作者原创首发文章，不代表迈点观点，转载请注明作者及来源。