编者按:本博客是系列文章的第三篇,该系列深入剖析了过去十年间备受瞩目的第三方相关数据泄露事件的成因与影响。敬请持续关注《风险登记册》博客,获取该系列后续内容!
2016年万豪收购喜达屋时,继承了一个存在安全漏洞的预订系统平台。该漏洞在2018年曝光后,引发了诉讼并损害了企业声誉。本文将回顾万豪数据泄露事件的背景、攻击者采用的手法、数据流向、事件对万豪的影响,以及第三方从业者可从中汲取的教训。
数据泄露背景
2016年万豪收购喜达屋时,并不知晓恶意攻击者自2014年起便直接入侵了喜达屋的网络和系统。攻击者持续掌控喜达屋系统直至2018年该安全漏洞被发现并公开披露。这些恶意攻击者窃取了客人的姓名、地址、电话号码、出生日期、电子邮箱、加密信用卡信息、护照号码及旅行记录。
所用方法
恶意行为者使用了远程访问木马(RAT)。RAT是一种恶意软件,可让攻击者远程访问目标计算机。攻击者还使用了名为Mimikatz的开源工具,该工具能在设备或系统内存中搜索用户凭证。这两种工具被用于维持对被入侵系统的访问权限、在网络中横向移动,以及提升受感染系统上的权限。
数据发生了什么?
网络安全专家认为此次数据泄露事件系国家行为体所为。然而截至2019年初,被盗信息尚未在暗网出现交易迹象。如此海量的泄露数据对外国情报机构极具价值,这些机构既具备攻击喜达屋的能力,也拥有分析被盗数据集的动机与资源。 2019年3月,万豪首席执行官阿恩·索伦森在美国参议院小组委员会作证时表示,万豪尚未确定此次数据泄露的责任方。
数据泄露事件如何影响万豪国际
万豪披露数据泄露事件后,其股价下跌逾5%。近期该公司股价已回升 ,且未遭遇重大营收损失。然而2019年7月,英国信息专员办公室(ICO)根据新颁布的《通用数据保护条例》(GDPR),向万豪国际发出拟处以99,200,396英镑(约合1.23亿美元)罚款的通知。
此外,多家原告已对万豪酒店提起集体诉讼。其中一项指控是万豪在收购过程中未对喜达屋的网络安全状况履行尽职调查义务。诉讼称,若万豪履行了该义务,数据泄露问题本应在收购喜达屋前被发现。截至目前,相关诉讼仍在进行中。
万豪数据泄露事件给第三方风险管理从业者带来的启示
万豪数据泄露事件为风险管理专业人士提供了诸多启示。最重要的是,在并购过程中,万豪本应深入尽职调查喜达屋的内部控制与安全政策,以查明其如何允许第三方访问系统,以及这种做法可能给喜达屋带来的风险。然而,由于通常难以全面了解收购目标的业务健康状况,且缺乏集中化的情报支持,此类调查往往面临挑战。
Prevalent 的独特之处在于,我们将自动化供应商评估与持续威胁监测整合于单一平台,从而实现对供应商的全方位洞察。由此获得的可视性,正是您发现、解读并缓解风险所需的关键要素。
随着信息安全相关监管活动的加强、消费者对数据泄露事件的强烈抗议,以及商业风险格局日益复杂,第三方违规行为引发的法律和财务后果将持续加剧。只要采取恰当措施,第三方风险管理从业者就能避免公司卷入负面新闻。
如需了解Prevalent如何帮助应对复杂的第三方风险,请立即联系我们。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
