万豪数据泄露门再敲警钟，企业数据5步安全建议

11月30日，万豪酒店官方发布消息称，多达5亿人次预订喜达屋酒店客人的详细个人信息可能遭到泄露。万豪国际在调查过程中了解到，自2014年起即存在第三方对喜达屋网络未经授权的访问，但公司直到2018年9月才第一次收到警报。

万豪国际还表示，泄露的5亿人次的信息中，约有3.27亿人的信息包括如下信息的组合：姓名、邮寄地址、电话号码、电子邮件地址、护照号码、SPG俱乐部账户信息、出生日期、性别、到达与离开信息、预订日期和通信偏好;更为严重的是，对于某些客人而言，信息还包括支付卡号和支付卡有效期，虽然已经加密，但无法排除该第三方已经掌握密钥。

酒店集团的数据泄漏问题已经不是第一次。近些年洲际、希尔顿、凯悦、文华东方等酒店集团等不止一次遭遇过这类安全事件。上一次华住集团的数据泄露事件我们还记忆犹新。以下是最近几年发生在酒店行业的部分数据泄漏事件：

2018.10：丽笙(Radisson)酒店，具体泄露数据量未公布。

2018.8：华住酒店集团，泄露数据量：5亿条，并在暗网售卖。

2017.10：凯悦酒店集团，泄露数据涉及全球的41家凯悦酒店。

2017.4：洲际酒店集团，泄露数据涉及超过1000家酒店。

2014和2015：希尔顿酒店集团，泄露数据涉及超过36万条支付卡数据。

酒店集团数据泄露事件三大主因：

1. 未经授权的第三方组织窃取数据

2. 特权账号被公开至Github导致泄露

3. POS机被恶意软件感染

当前，以数据安全生命周期进行安全管控的最佳实践已经成为业内数据安全治理的共识。

基于此，给出如下建议：