专业编程培训机构——完成蜕变以后轻松拿高薪

电话+V：159999-78052 ，欢迎咨询万豪酒店代码入住条件，[python实用课程]，[C++单片机原理]，[C#网站搭建]，[Nodejs小程序开发]，[ios游戏开发]，[安卓游戏开发]，[教会用大脑用想法赚钱实现阶层跨越]

一、坎昆万豪度假酒店的入住时间

坎昆万豪度假酒店位于坎昆的BoulevardKukulcan，RetornoChacL-41，ZonaHotelera，坎昆，金塔纳罗奥州，77500，墨西哥，入住时间是16:00以后，退房时间是12:00以前，酒店为游客贴心的提供了免费停车场，电梯，餐厅，美容理发店，咖啡厅等设施。

详细信息

酒店星级：是4星级酒店。

早餐政策：酒店提供早餐。

二、万豪两万及以上住宿怎么认定

现金或积分和房券(FN)都算合格入住。住宿要求都是按照日历年来计算。满足对应级别要求之后，至少可以获得1年的会员有效期（万豪每年3月更新会籍）。

如果要积累有效入住/房晚和积分，最重要的一点就是要官方途径预定！携程，Bookings，Priceline等第三方平台预定的入住不会被认可为有效入住。

万豪N条入住记录、员工工资等数据又遭泄露

2022-07-0813:12·InfoQ

6月8日，网安媒体DataBreaches收到一封匿名邮件，标题为《万豪酒店遭遇入侵！非常重要！》看到标题，大家脑海中浮现的应该是同一个念头：怎么又是万豪？到底是新一波网络入侵，还是有人在拿之前泄露的旧数据做文章？

事实证明，这就是一波最新网络入侵。

那这一次万豪到底遇上了什么状况？涉及哪些数据？实施攻击的又是何方神圣？

让我们先从最后一个问题入手。虽然攻击团伙坚称自己没有名称，但DataBreaches将其定名为“GNN”（GroupwithNoName，无名团伙），而且从攻击痕迹来看，他们可绝对不是毫无经验的新手。因此，DataBreaches深度怀疑他们要么是在伪装身份，要么就是史上最成功的低调网络犯罪组织。

本次事件始末根据GNN的介绍，他们约在一个月前入侵了万豪酒店，并窃取到20GB数据。其中包含大量信用卡与机密信息。

通过对网站文件的核查，我们发现这些信息来自万豪酒店马里兰州巴尔的摩华盛顿国际机场店（BWIA）。GNN方面也确认称，他们侵入的确实就是这家万豪机场店的服务器。

根据DataBreaches发布的声明，GNN曾经向万豪酒店众多员工发出关于入侵活动的电子邮件。万豪最初做过回应，但随后又停止了沟通：

GNN发言人告知DataBreaches，“我们就是这次数据泄露背后的组织者，对方正在与我们沟通。我们的行为模式属于红帽黑客，但对方却突然停止了进一步交流。”

6月29日，DataBreaches联系上了万豪酒店CISOArnoVanDerWalt，后者迅速做出了回应，并询问是否愿意跟万豪指定的顾问律所BakerHostetler沟通。在DataBreaches同意之后，当天下午双方就顺利完成了接洽。

根据GNN已经在网站上发布的内容，DataBreaches向万豪方面确认了事件的真实性，期间果然已经有部分数据不慎外泄。但在对方的话语中，此次事件似乎并不像GNN表述得那么严重。

GNN拒绝回答他们是如何获得访问权限的，但万豪酒店表示，此次违规源自黑客团伙通过社会工程欺骗了一名内部员工，导致攻击者顺利访问到该员工的计算机。

万豪方面还补充道：

尚无证据表明，恶意黑客能够访问到该员工接触范围之外的文件。在就这些情况征求GNN意见时，对方并没有提出太多质疑，并表示据他们所知，万豪给出的说明与实际情况基本相符。

DataBreaches并不清楚GNN在攻击后多久才联系万豪，也不知道有没有提出勒索要求。但万豪称早在GNN主动接触前就已经发现问题，并着手开展调查。万豪还提到，事件在六小时之内就得到控制。对于这样的说法，GNN既不承认也未表示质疑。

万豪与GNN双方都表示，万豪没有为此事支付任何款项。万豪没有透露双方是否就此事进行过谈判，但GNN则提到期间其实进行过某种沟通：

他们跟我们沟通过，但后来又无缘无故中止了对话，可能是因为我们提出的价码太高。但我们其实很愿意与客户达成协议，也曾经告知万豪，我们完全可以给要价再打个折。

哪些数据被盗取？万豪方面承认，虽然GNN窃取的大部分数据都属于“非敏感性内部业务文件”。但根据相关规定，万豪还是需要就此事向约300到400名受影响个人及监管机构发布通报。万豪没有提到此次事件具体涉及哪些个人信息类型。

据报道，万豪已经将事件通知执法部门并表示将支持进一步调查。

关于万豪酒店的安全水平，GNN评论道：

他们的安全水平很差，数据窃取基本没有难度。虽然我们没能访问到整个数据库，但已经触及的部分仍然充斥着各种关键数据。

GNN明显是将顾客及员工的部分专有和个人信息视为“关键数据”，并向DataBreaches提供了20GB文件中的部分样本。

可以看到，其中一些属于内部商业文件，包含机密与专有信息，例如如何访问劳动力管理和调度平台等。从文件日期来看，其中部分手册和审计内容可能已经失效。本文不会披露任何数据内容，但有一些较新的文件列出了万豪酒店各部门的平均工资，这对员工或其他竞争对手可能颇具吸引力。

除了内部业务文件之外，其他文件还包含酒店住客及员工信息。DataBreaches审查了航空公司为其机组人员在万豪机场店预订房间时的文件，表单中包含机组成员姓名（首字母和姓氏）、前往时乘坐的航班号、离开时乘坐的航班号、在机组中的职务（飞行员或空乘人员）以及分配到的BWIA房间号。此外，表单似乎还包含统一安排住客的航空公司或旅行社的企业信用卡号。以下截图为其中两份样本文件：

GNN窃取并提供给DataBreaches的文件截图。酒店客人信息包括航空公司安排，表格中则显示出机组人员抵达航班、出发航班、姓名（名字首字母与姓氏）、BWIA房间号，以及带有CVV和到期日期的完整企业信用卡号。图中敏感部分已被DataBreaches编辑遮挡。

DataBreaches也看到了似乎与人力资源相关的文件，包括对BWIA指定活动主管的人事评估。尽管这位员工在所有指标上都获得了正面评价，她的个人表现也获得了积极的主观表述，但不太清楚为什么这份文件会落入负责管理住客预订和信用卡信息的员工手上。好在内容并不特别敏感，应该不会给万豪带来严重影响。

DataBreaches也不清楚万豪将要通知的300到400人主要是住客、员工，抑或二者兼有。

如上所述，万豪酒店立即承认了存在违规行为。他们在声明中并未提到最初是如何发现此次事件的，也没有透露可能采取哪些应对措施，例如是否会对员工进行二次培训、避免再次发生社会工程攻击。根据经验，DataBreaches认为这只是受影响实体不想公开披露自己的安全措施变动。

不过事件的口子已开，如果GNN成功欺骗了其他权限更高的员工，那么后果将不堪设想。

更值得注意的是，算上这一次，万豪酒店包括数据泄露在内的违规事件至少发生过7次。

万豪酒店过往违规事件汇总2010年9月，HEIHotelsResorts宣布其“某些酒店物业的信息系统可能遭遇漏洞利用”，事件影响到部分万豪品牌酒店。2010年11月，一位匈牙利人想通过感染万豪酒店的系统威胁后者给自己提供工作岗位。事实证明，这种求职方式相当不靠谱。2011年4月，万豪礼赏奖励计划客户收到了关于万豪供应商Epsilon的违规事件通知。2018年11月，喜达屋2014年的违规事件被首次曝光，也就是说万豪在2016年收购喜达屋时，双方对此均不知情。万豪披露，此次违规共影响到近5亿住客，而最终发布的重新估计数字则为至多3.83亿。该事件在加拿大引发了1亿美元的集体诉讼，英国信息专员办公室则开出1840万英镑罚款。在美国及其他各地的相关案件仍在审理当中。2018年违规事件的诉讼仍在继续，而万豪在2019年10月又宣布，某家未具名的供应商发生违规事件，导致部分员工受到影响。几个月后的2020年3月，万豪酒店被迫向520万住客发出通知，称由于两位员工的登录凭证不慎外泄，这些住客的个人信息曾在2020年1月中旬至2020年2月期间被意外访问。最后就是现在，2020年某无名团伙再次入侵万豪巴尔的摩华盛顿国际机场店。GNN是谁？究竟什么来头？

在最近的事件中，“始作俑者”GNN就不得不拿出来好好讨论一番了。他们到底是一群运气爆棚的新手，还是真的成功在全球网络安全媒体的眼皮子底下潜伏了多年？DataBreaches怀疑后者的可能性更大，但GNN关于自身及其历史的说法并没有得到证实。

在与DataBreaches的交流中，GNN表示他们是一支约有五年历史的国际黑客团伙。之所以能游离于媒体视野之外，靠的就是行之有效的沟通技巧与保密习惯。

GNN还表示，他们从来不会加密锁定受害者的数据，因为这样会影响对方的正常运营。在被问及他们是否曾攻击过俄罗斯和独联体实体时，他们并没有简单给出“是”或“否”，而是回应称“我们攻击的是全世界所有企业。”他们的攻击从来只指向企业，从不涉及政府关键基础设施。

在被问及为什么要与DataBreaches联系时，GNN发言人表示他们打算调整业务结构。结合他们过往的“辉煌战绩”，这样的说法似乎也有一定的可信度。至少他们成功攻击了万豪并拿到了内部数据，单凭这点就很说明问题了。

如何保护用户隐私安全？在数据隐私备受关注的今天，无论是酒店，还是其他企业，保护用户隐私安全都是重中之重。

如何保护用户隐私安全？酒店可以从防丢失、防滥用、防篡改和防泄漏着手。

一是严控代码，告诉所有开发人员，不允许将任何开发代码上传到第三方平台，已经上传的代码立即删除；二是全业务渗透测试，启动一次针对全业务的渗透，堵上可能存在威胁数据安全的漏洞；三是权限梳理，尽快完成对业务系统敏感数据、访问人员和权限的梳理；四是数据加密，对梳理出来的敏感数据进行分类分级，确定哪些字段必须加密，利用第三方的透明加密系统、云上的加密服务/密钥管理服务逐步完成系统改造。

如果涉及数据库安全，企业应当定期对数据库进行风险评估。使用风险评估工具对数据库进行近乎实时监视的企业，会在加密后的数据离开数据库时更清楚地发现这一切。

数据库安全保障的实操，我们建议：

更换端口：不使用默认端口虽然无法杜绝黑客的入侵，但可以相对增加入侵难度；公网屏蔽：只监听内网端口屏蔽公网端口的请求，通过该策略继续增加黑客的入侵难度；使用普通用户启动：建议大家维护的所有db都使用禁止登录的非root用户启动；开启验证：这虽然是复杂、痛苦的一步，但却是明智的选择；权限控制：建议大家针对自己维护的数据库设置一套适合对应业务的权限控制、分配方案；备份策略：一套可靠的本地备份逻辑+远程备份存储方案可以解决被黑、误删、机房漏水、服务器报销，甚至机房被核弹炸毁的场景；恢复策略：建立一套能够覆盖多数灾难场景的恢复策略来避免手忙脚乱是非常必要的；敏感数据加密存储：我们建议大家一定对任何敏感信息加密后再入库，例如：密码、邮箱、地址等等。

参考链接：

https://www.databreaches.net/exclusive-marriott-hacked-again-yes-heres-what-we-know/

【WINDRISES EMPLOYMENT PROGRAMMING】尊享对接老板

电话+V：159999-78052

机构由一批拥有10年以上开发管理经验，且来自互联网或研究机构的IT精英组成，负责研究、开发教学模式和课程内容。公司具有完善的课程研发体系，一直走在整个行业发展的前端，在行业内竖立起了良好的品质口碑。