今天上午,万豪酒店披露,一个“未经授权的第三方”访问了其喜达屋(Starwood)预订数据库,并窃取了约 5亿 名宾客的信息。这家酒店连锁公司已向有关部门报告了此次泄露事件,现在将开始漫长的过程,以弄清楚每位受影响的客户在多大程度上受到了侵犯。
泄露的信息大多是您在入住酒店时需要提供的个人信息,如您的姓名、电子邮件地址、电话号码和出生日期。一些信用卡信息也外泄了,但该连锁酒店表示不确定罪犯是否有能力解密这些信息。然而,不同寻常的是,此次泄露事件还包括了护照号码,这一点会带来一些特定的风险。
情况有多严重?
“您应该比保管身份证更谨慎地保管您的护照信息,”专注于隐私和安全问题的非营利性公众利益研究组织“世界隐私论坛”的执行主任帕姆·迪克森(Pam Dixon)表示。“最大的问题是,如果有人能够获取带有您身份信息的护照,他们就可以跨越司法管辖区。最可怕的情况是,您出国旅行,而有人以您的名义在那里犯下了罪行。”
几十年来,假冒护照一直是黑市上的畅销商品,一份假的美国护照最高可达 4000美元以上,供那些想要在国内冒充美国公民或在国外旅行的人购买。虽然使用假证件旅行越来越困难(稍后会详述),但护照可以提供第二种身份证明,通常是开户或证明居住地所必需的。
黑客能从您的护照号码中了解到什么?
与过去的一些黑客攻击不同,万豪酒店泄露事件提供了大量关于受害者旅行习惯的信息。通过查看入住和退房信息,黑客可以拼凑出粗略的旅行历史,但护照号码则更进一步。根据美国国土安全部的数据,您可以使用 这个在线工具 来追踪您的国际旅行记录,该工具对公众开放。它需要您的全名、生日和护照号码,这些信息都在万豪酒店泄露的范围内。
迪克森表示,这可能对试图挑选最佳受害者的黑客来说是宝贵的信息。“如果您是那种不常去很多地方、把护照放在抽屉里的旅客,您可能就会成为一个极佳的目标,”她说。“这降低了别人发现欺诈的可能性。”
欺诈拼图的一块
万豪酒店的黑客攻击并非孤立事件。据信息安全咨询公司Compliance Point的网络服务总监盖茨·马歇尔(Gates Marshall)称,仅在2018年11月,就有约8亿条个人记录被泄露,其中包括Dunkin Donuts等其他公司。“攻击者可以聚合这些信息,并与社交媒体和其他公开渠道上已有的海量公开信息进行交叉比对,”他说。
获得假冒护照的一种方法是使用个人信息 申请新护照,并声称旧护照丢失或被盗。 在线申请新护照 的过程相对简单,只需填写一个表格,类似于注册新的流媒体服务或进行一次购买,只是额外有一些要求。
重新申请过程中最具挑战性的部分是需要 受害者的社会安全号码,但 Equifax今年早些时候泄露了数百万个社保号码。除此之外,证件上的所有信息(您也可以亲自提交)都有可能来自万豪酒店的泄露,或者被打包成一揽子身份信息在暗网上出售。
生物识别技术不是让假护照失效了吗?
世界各地的海关系统、兼容的机场和其他旅行设施中内置的生物识别保护程度已大大提高,但支持仍然非常零散且不可预测。如果您在2006年或2007年之后更新过美国护照,它很可能内置了生物识别技术。您可以从封面上的带圆圈的矩形图标来识别。这增加了一层安全性,但欺骗生物识别系统的技术已经出现,使假冒护照更有用武之地。
“一种称为‘变形’(morphing)的技术可以帮助一些伪造证件通过生物识别测试,”迪克森说。这个过程涉及使用图像编辑技术,将受害者的面部与犯罪者的面部结合成一个近似的面孔,以通过基本的面部扫描,或者更简单地说,通过人工警卫的简单目视检查。换句话说:犯罪分子使用自己的真实面孔,但其证件上的照片已被篡改。这是目前暗网上 “带护照的自拍”黑市 的驱动力。
您应该更换目前的护照吗?更换新护照的过程相对简单,会分配一个新的、与您新证件相符的号码。旧号码将失效,就像您因丢失或被盗而更换一样。尽管如此,这仍然耗时且成本相对较高,特别是如果您有已附加到旧证件上的旅游签证,这些签证在新号码下会失效。如果您目前的护照已接近到期,这是时候进行更换了,但如果您想提前一年以上更新,可能需要明确说明原因。
