全世界最大的酒店集團萬豪國際,11月30日宣布旗下飯店「喜達屋」的訂購管理系統遭到駭客入侵,高達5億名飯店用戶個資遭駭客竊取,堪稱飯店業史上最大規模的資安外洩案。儘管全案仍在調查,《紐約時報》11日率先引述美國調查人員的說法,指中國政府可能是策動駭客入侵萬豪系統的幕後黑手。美國政府可能在未來數天內公布針對中國貿易、網路以及經濟政策。
2014年駭入房客個資 護照、信用卡號碼都遭駭
萬豪國際(Marriott International)旗下擁有麗斯卡爾登(RITZ-CARLTON)、W HOTEL、威斯汀(Westin)、瑞吉酒店(St. Regis Hotel)等高級飯店品牌,這次爆發資安危機的「喜達屋」(Starwood)飯店訂房管理系統,9月8日發現有潛在資訊洩漏風險,更發現有駭客竊取房客個資之後,試圖以加密形式移除用戶個資,但萬豪國際直到11月才能解碼外洩的資訊,發現駭客早在2014年就開始竊取客戶個資,可能有高達5億名客戶的資料已遭竊取。
駭客竊取的房客資料包括姓名、居住地址、電話號碼、護照號碼,也可能包含房客的出生日期、性別、訂房日期、登記入住時間以及退房時間、信用卡等資訊。美國歐巴馬(Barack Obama)政府時期的美國國土安全顧問摩納珂(Lisa Monaco)即指出,護照的資訊相較其他個資,能夠追蹤跨越國界的民眾、以及護照持有人的長相,特別具有價值。而由於萬豪國際旗下的飯店,是美國政府官員、軍方投宿的首選,增加美國調查單位偵辦的急迫性。
NEW: The Marriott Data Breach was part of a Chinese intelligence-gathering effort reports @SangerNYT, @nicoleperlroth, @GlennThrush & @arappeport
— Fergus Ryan (@fryan) 2018年12月12日
The hackers are suspected of working on behalf of the Ministry of State Security.https://t.co/Q8IOIuWjz2
美國懷疑中國國家安全部指揮犯案
從萬豪國際傳出客戶個資外洩開始,美國政府與資安公司就懷疑,這場駭客入侵行動不只是商業刺探行動,而是更廣大的間諜行動,意圖積聚美國人的個人資料。儘管調查尚未結束,2名了解調查進度的美國官員向《紐約時報》(New York Times)表示,美國調查機關懷疑,這些中國駭客受到中國國家安全部(MSS)指揮。
評估萬豪國際房客個資外洩的資安公司發現,駭客行動時所使用的雲端主機(cloud-hosting),與過去中國政府主導的駭客攻擊一致,駭客使用跳躍伺服器的資料竊取方式,也是中國典型的做案手法。另外一個由國家介入駭客的線索則是,沒有一筆被駭的資料出現在「暗網」(dark Web)或是任何犯罪集團用於出售個人資料的非法平台上。
美國匿名官員11日指出,這些駭客竊取萬豪國際房客個資,只是其駭入美國聯邦人事管理局(Office of Personnel Management,OPM)行動的一部分。2014年至2015年間,美國OPM遭駭時,高達400萬民眾的資料都遭駭客竊取,包括民眾姓名、社會安全碼(Social Security Numbers)、生日與地址、配偶、孩子等資訊。萬豪國際房客資料遭駭,則能讓情報系統掌握民眾乃至於官員的旅遊習性。
U.S. investigators point to China in the hack of Marriott Starwood's reservation system, which affected 500 million travelers https://t.co/QH73kOBSS2
— The Washington Post (@washingtonpost) 2018年12月12日
美國反制措施:起訴駭客、限制中企取得美零件
華府智庫「戰略與國際研究中心」(Center for Strategic and International Studies)網路政策專家路易斯(James A. Lewis)指出,中國已經蒐集到大量的資訊,能讓中國國家安全部掌握美國間諜,以及與他們接觸的中國民眾。路易斯說:「大數據已然成為反情報的新浪潮。」
美國政府也已研擬策略反制中國駭客的作為,4名匿名官員向《紐時》透露,美國將對在軍隊、情報單位工作的中國駭客起訴。川普(Donald Trump)政府打算解密情報單位的報告,揭露中國從2014年起針對美國建立安全權限的企業高層、政府官員的個資建立資料庫。此外,美國也考慮要發布行政命令,讓中國企業更難取得美國電信設備的關鍵零件。
對於萬豪國際集團旗下訂房網站疑遭中國駭客入侵,中國外交部發言人耿爽6日則曾表示:「中方堅決反對並依法打擊任何形式的駭客攻擊」。耿爽也表示,若有相關證據,能夠提供中國,讓有關部門依法調查,「但我們堅決反對在網路安全問題上進行無端指責。」
Investigators conclude China is behind massive Marriott data breach https://t.co/4Guebf1p65 pic.twitter.com/hagBuZOrQb
— The Hill (@thehill) 2018年12月12日