萬豪酒店520萬客人資料泄漏！你的姓名地址電話號碼生日等全被泄露了！

不到兩年，萬豪酒店再次發(fā)生數(shù)據(jù)泄露。本周二，萬豪酒店表示，公司有近520萬房客的個人信息被泄露。上一次萬豪有3.83億人次詳細個人信息被泄露。

1

事件回顧

3月31日，據(jù)CNET報道，萬豪酒店本周二宣布，該公司發(fā)生一起數(shù)據(jù)泄露事件，有近520萬房客個人信息被泄露。

這家酒店集團表示，泄露的個人信息可能包括姓名、地址、電子郵件、電話號碼和生日，還有忠實用戶賬戶的詳細信息，比如房間偏好。據(jù)悉，萬豪酒店注意到，2月底，有人在特許經(jīng)營場所利用兩名員工的登錄憑據(jù)訪問了大量房客信息。

萬豪酒店聲稱，這起數(shù)據(jù)泄露事件正在調(diào)查，但不認為房客的信用卡號、護照信息或駕照號被泄露。目前，這家公司已經(jīng)給受影響的房客發(fā)送通知郵件，并且為他們免費提供一年的個人信息監(jiān)測。

對這家知名酒店集團而言，兩年不到，這是它發(fā)生的第二起重大安全事件。

2

上次更嚴重：索賠125億美元，被罰1.24億美元

2018年11月，萬豪酒店宣布，旗下喜達屋酒店(Starwood Hotel)的一個顧客預訂數(shù)據(jù)庫被黑客入侵，可能有多達5億人次預訂喜達屋酒店客人的詳細個人信息被泄露。

據(jù)悉，黑客入侵最早從2014年就已經(jīng)開始，但公司直到2018年9月才第一次收到警報。這次泄露的5億人次信息中，約3.27億人的泄露信息包括姓名、郵寄地址、電話號碼、電子郵件地址、護照號碼、SPG俱樂部賬戶信息、出生日期、性別、到達與離開信息、預訂日期和通信偏好。更嚴重的是，對某些客人而言，泄露信息還包括支付卡號和支付卡有效期，雖然它們已經(jīng)加密，但無法排除該第三方已經(jīng)掌握密鑰的可能性。

經(jīng)過一段時間調(diào)查后，萬豪酒店將遭遇信息泄露的客戶數(shù)量修正為3.83億。

針對本次事件，阿里云安全的一篇分析文章指出：酒店集團數(shù)據(jù)泄露一般有三大原因：一是未經(jīng)授權(quán)的第三方組織竊取數(shù)據(jù);二是特權(quán)賬號被公開至GitHub導致泄露，開發(fā)人員將包含有數(shù)據(jù)庫賬號和密碼的代碼上傳至GitHub，被黑客掃描到以后進行了拖庫;三是POS機被惡意軟件感染，因POS機被植入惡意程序，導致支付卡信息被竊取。

此次數(shù)據(jù)泄露，萬豪酒店不僅引來訴訟，而且被政府監(jiān)管部門重罰。訴訟上，美國Geragos&Geragos律師事務所律師本·梅塞拉斯和Underdog Law法律顧問邁克爾·富勒代表兩名原告大衛(wèi)·約翰遜和克里斯·哈里斯對萬豪酒店提起集體訴訟，索賠125億美元。

罰款上，英國數(shù)據(jù)隱私監(jiān)管機構(gòu)宣布，萬豪酒店集團因在2014年發(fā)生數(shù)據(jù)泄露將面臨近9900萬英鎊(約合1.24億美元)的罰款。因為它違反了歐盟GDPR(通用數(shù)據(jù)保護條例)條例。GDPR中存在明確規(guī)定，所有機構(gòu)必須對所持有的個人數(shù)據(jù)負責，包括在合作或交易時需要進行適當?shù)谋M職調(diào)查，以及采取適當?shù)拇胧┰u估已取得的個人數(shù)據(jù)，以及評估如何保護這些數(shù)據(jù)。個人數(shù)據(jù)有真正的價值，因此機構(gòu)有法律責任確保其安全，就像處理任何其他資產(chǎn)一樣。