4月1日,万豪520万客户信息泄露致市值蒸发18亿美元。
不到两年,万豪酒店再次发生数据泄露。本周二,万豪酒店表示,公司有近 520 万房客的个人信息被泄露。上一次万豪有 3.83 亿人次详细个人信息被泄露。
1,事件回顾
3 月 31 日,据 CNET 报道,万豪酒店本周二宣布,该公司发生一起数据泄露事件,有近 520 万房客个人信息被泄露。
这家酒店集团表示,泄露的个人信息可能包括姓名、地址、电子邮件、电话号码和生日,还有忠实用户账户的详细信息,比如房间偏好。据悉,万豪酒店注意到,2 月底,有人在特许经营场所利用两名员工的登录凭据访问了大量房客信息。
万豪酒店声称,这起数据泄露事件正在调查,但不认为房客的信用卡号、护照信息或驾照号被泄露。目前,这家公司已经给受影响的房客发送通知邮件,并且为他们免费提供一年的个人信息监测。
对这家知名酒店集团而言,两年不到,这是它发生的第二起重大安全事件。
2,上次更严重
2018 年 11 月,万豪酒店宣布,旗下喜达屋酒店(Starwood Hotel)的一个顾客预订数据库被黑客入侵,可能有多达 5 亿人次预订喜达屋酒店客人的详细个人信息被泄露。
据悉,黑客入侵最早从 2014 年就已经开始,但公司直到 2018 年 9 月才第一次收到警报。这次泄露的 5 亿人次信息中,约 3.27 亿人的泄露信息包括姓名、邮寄地址、电话号码、电子邮件地址、护照号码、SPG 俱乐部账户信息、出生日期、性别、到达与离开信息、预订日期和通信偏好。更严重的是,对某些客人而言,泄露信息还包括支付卡号和支付卡有效期,虽然它们已经加密,但无法排除该第三方已经掌握密钥的可能性。
经过一段时间调查后,万豪酒店将遭遇信息泄露的客户数量修正为 3.83 亿。
针对本次事件,阿里云安全的一篇分析文章指出:酒店集团数据泄露一般有三大原因:一是未经授权的第三方组织窃取数据;二是特权账号被公开至 GitHub 导致泄露,开发人员将包含有数据库账号和密码的代码上传至 GitHub,被黑客扫描到以后进行了拖库;三是 POS 机被恶意软件感染,因 POS 机被植入恶意程序,导致支付卡信息被窃取。
此次数据泄露,万豪酒店不仅引来诉讼,而且被政府监管部门重罚。诉讼上,美国 Geragos & Geragos 律师事务所律师本·梅塞拉斯和 Underdog Law 法律顾问迈克尔·富勒代表两名原告大卫·约翰逊和克里斯·哈里斯对万豪酒店提起集体诉讼,索赔 125 亿美元。
罚款上,英国数据隐私监管机构宣布,万豪酒店集团因在 2014 年发生数据泄露将面临近 9900 万英镑(约合 1.24 亿美元)的罚款。因为它违反了欧盟 GDPR(通用数据保护条例)条例。GDPR 中存在明确规定,所有机构必须对所持有的个人数据负责,包括在合作或交易时需要进行适当的尽职调查,以及采取适当的措施评估已取得的个人数据,以及评估如何保护这些数据。个人数据有真正的价值,因此机构有法律责任确保其安全,就像处理任何其他资产一样。
