萬豪酒店520萬客人資料泄漏！你的姓名地址電話號碼生日等全被泄露了！

不到兩年，萬豪酒店再次發(fā)生數(shù)據(jù)泄露。本周二，萬豪酒店表示，公司有近520萬房客的個(gè)人信息被泄露。上一次萬豪有3.83億人次詳細(xì)個(gè)人信息被泄露。

1

事件回顧

3月31日，據(jù)CNET報(bào)道，萬豪酒店本周二宣布，該公司發(fā)生一起數(shù)據(jù)泄露事件，有近520萬房客個(gè)人信息被泄露。

這家酒店集團(tuán)表示，泄露的個(gè)人信息可能包括姓名、地址、電子郵件、電話號碼和生日，還有忠實(shí)用戶賬戶的詳細(xì)信息，比如房間偏好。據(jù)悉，萬豪酒店注意到，2月底，有人在特許經(jīng)營場所利用兩名員工的登錄憑據(jù)訪問了大量房客信息。

萬豪酒店聲稱，這起數(shù)據(jù)泄露事件正在調(diào)查，但不認(rèn)為房客的信用卡號、護(hù)照信息或駕照號被泄露。目前，這家公司已經(jīng)給受影響的房客發(fā)送通知郵件，并且為他們免費(fèi)提供一年的個(gè)人信息監(jiān)測。

對這家知名酒店集團(tuán)而言，兩年不到，這是它發(fā)生的第二起重大安全事件。

2

上次更嚴(yán)重：索賠125億美元，被罰1.24億美元

2018年11月，萬豪酒店宣布，旗下喜達(dá)屋酒店(Starwood Hotel)的一個(gè)顧客預(yù)訂數(shù)據(jù)庫被黑客入侵，可能有多達(dá)5億人次預(yù)訂喜達(dá)屋酒店客人的詳細(xì)個(gè)人信息被泄露。

據(jù)悉，黑客入侵最早從2014年就已經(jīng)開始，但公司直到2018年9月才第一次收到警報(bào)。這次泄露的5億人次信息中，約3.27億人的泄露信息包括姓名、郵寄地址、電話號碼、電子郵件地址、護(hù)照號碼、SPG俱樂部賬戶信息、出生日期、性別、到達(dá)與離開信息、預(yù)訂日期和通信偏好。更嚴(yán)重的是，對某些客人而言，泄露信息還包括支付卡號和支付卡有效期，雖然它們已經(jīng)加密，但無法排除該第三方已經(jīng)掌握密鑰的可能性。

經(jīng)過一段時(shí)間調(diào)查后，萬豪酒店將遭遇信息泄露的客戶數(shù)量修正為3.83億。

針對本次事件，阿里云安全的一篇分析文章指出：酒店集團(tuán)數(shù)據(jù)泄露一般有三大原因：一是未經(jīng)授權(quán)的第三方組織竊取數(shù)據(jù);二是特權(quán)賬號被公開至GitHub導(dǎo)致泄露，開發(fā)人員將包含有數(shù)據(jù)庫賬號和密碼的代碼上傳至GitHub，被黑客掃描到以后進(jìn)行了拖庫;三是POS機(jī)被惡意軟件感染，因POS機(jī)被植入惡意程序，導(dǎo)致支付卡信息被竊取。

此次數(shù)據(jù)泄露，萬豪酒店不僅引來訴訟，而且被政府監(jiān)管部門重罰。訴訟上，美國Geragos&Geragos律師事務(wù)所律師本·梅塞拉斯和Underdog Law法律顧問邁克爾·富勒代表兩名原告大衛(wèi)·約翰遜和克里斯·哈里斯對萬豪酒店提起集體訴訟，索賠125億美元。

罰款上，英國數(shù)據(jù)隱私監(jiān)管機(jī)構(gòu)宣布，萬豪酒店集團(tuán)因在2014年發(fā)生數(shù)據(jù)泄露將面臨近9900萬英鎊(約合1.24億美元)的罰款。因?yàn)樗`反了歐盟GDPR(通用數(shù)據(jù)保護(hù)條例)條例。GDPR中存在明確規(guī)定，所有機(jī)構(gòu)必須對所持有的個(gè)人數(shù)據(jù)負(fù)責(zé)，包括在合作或交易時(shí)需要進(jìn)行適當(dāng)?shù)谋M職調(diào)查，以及采取適當(dāng)?shù)拇胧┰u估已取得的個(gè)人數(shù)據(jù)，以及評估如何保護(hù)這些數(shù)據(jù)。個(gè)人數(shù)據(jù)有真正的價(jià)值，因此機(jī)構(gòu)有法律責(zé)任確保其安全，就像處理任何其他資產(chǎn)一樣。