新加坡个人数据保护委员会(PDPC)最近披露,香格里拉酒店有限公司的物业管理系统于 2022 年遭遇数据泄露,可能暴露了超过一百万客人的个人数据。
该事件发生在 2022 年 6 月,首次公开披露是在同年晚些时候。
然而,直到昨天,PDPC 审查了此案并接受了该公司改善数据保护实践的自愿承诺后,有关此次违规行为的更多细节(包括其范围和严重程度)才被公开。
事件详情和时间表
香格里拉酒店有限公司发现威胁行为者在 2022 年 6 月 27 日左右访问并可能泄露了个人数据,随后于 2022 年 7 月 16 日向 PDPC 报告了该违规行为。
泄露的信息包括 1,076,899 名客人的以下数据:
-
名字
-
电话号码
-
电子邮件地址
-
物理地址
-
居住国家
-
会员详情
值得注意的是,信用卡详细信息和身份证件等更敏感的数据都已被加密,并且没有迹象表明攻击者访问了这些数据。
调查显示,早在 2019 年 11 月 26 日,威胁行为者就已活跃于总部位于香港的香格里拉集团网络中。
然而,由于在此日期之前缺乏法医证据,并且攻击者使用了先进的规避技术。
因此尚不清楚他们最初是如何进入香港网络的。
到 2021 年 11 月 1 日,攻击者成功入侵了一个拥有域级管理员凭据的帐户,从而得以在网络中导航。
经过六个月的监视和侦察,他们从香港网络横向移动到新加坡的补丁管理服务器,最终访问了存储客人数据的物业管理系统。
预计受到此次安全漏洞事件影响的酒店包括:
-
港岛香格里拉大酒店
-
香港嘉里酒店
-
香港九龙香格里拉大酒店
-
新加坡香格里拉公寓
-
新加坡香格里拉大酒店
-
泰国清迈香格里拉大酒店
-
台北远东香格里拉大酒店
-
日本东京香格里拉酒店
潜在的更广泛影响
香格里拉集团是一家跨国豪华酒店公司,总部位于香港,酒店业务遍布亚洲、中东、北美和欧洲。
其新加坡子公司香格里拉酒店有限公司直接受到此次入侵的影响,但它可能不是该集团旗下唯一一家受到安全漏洞影响的实体。
鉴于该酒店品牌的国际影响力,此次事件引发了人们对公司业务数据安全和隐私标准的严重担忧。
因此,香格里拉酒店有限公司还通知了其他相关部门,包括香港个人资料私隐专员公署。
委员会还发现了另一个问题,即酒店的物业管理系统保留了 7,349 名客人的个人资料,而根据数据保留政策,这些数据本应被清除。
香格里拉酒店有限公司在发生泄密事件之前就已与软件供应商合作解决此问题,事件发生后已完成全面数据清除。
香格里拉的回应
香格里拉酒店有限公司聘请了两名第三方取证专家来调查此次入侵事件。
尽管该公司采用了行业标准的信息安全措施,但威胁行为者成功模仿了合法的网络连接,从而绕过了检测。
威胁行为者行动的时间跨度很长(可能超过两年半),这表明对手非常老练且资源丰富。
在发现漏洞后,香格里拉酒店有限公司采取了多项补救措施,以遏制威胁并减轻影响,包括聘请法医专家检查系统是否存在威胁行为者活动的迹象、通知所有可能受到影响的个人,并提供免费的身份监控覆盖。
鉴于情况——包括威胁的复杂性、违规行为源自香格里拉酒店有限公司的直接控制范围之外,以及发现后立即采取的措施——PDPC接受了酒店的自愿承诺,以加强其数据保护措施。
该承诺概述了以下补救措施:
-
增强网络和系统日志记录。
-
强化网络和系统以防止将来发生违规行为。
-
将系统与互联网隔离,并阻止已知的恶意 IP 地址。
-
移除并重建受损系统以确保完整性。
-
聘请独立的网络安全提供商进行安全审查。
-
与软件供应商合作解决物业管理系统的缺陷。
-
修改了组的密码策略以在 Active Directory 中实施复杂的控制。
原文始发于微信公众号(网络研究观):香格里拉酒店遭遇数据泄露影响百万客人
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论