萬豪酒店宣稱資料庫被入侵,5億使用者私密資訊或外洩!
大資料文摘出品
作者:魏子敏、蔣寶尚
今日,萬豪國際集團官方微博釋出宣告稱,旗下喜達屋酒店的一個客房預訂資料庫被黑客入侵,五億使用者資訊或已經外洩。這可能會成為僅次於去年雅虎30億使用者資訊洩露後,歷史上第二大公司使用者洩露事件。
從萬豪酒店向美國監管機構提交的宣告中我們得知,在9月10日或之前,就已經檢測到有未經許可就訪問資料庫的行為,具體來說,洩露行為可以追溯到2014年。
未經授權的第三方己複製並加密了某些資訊,並採取措施試圖將該等資訊移出。2018年11月19日,萬豪國際成功解密資訊,並確定資訊的內容來自喜達屋賓客預訂資料庫。
除此之外,並沒有透露更具體的黑客行為細節。但網路安全專家表示,2016年收購喜達屋可能會讓黑客悄然留在喜達屋的資料庫中。
之後,萬豪國際美股盤前跌逾5%。
這一被“黑”的資料庫中包含5億多客戶的資訊,其中3.27億使用者的資訊包括姓名、郵寄地址、電話號碼、電子郵件地址、護照號碼、SPG俱樂部賬戶資訊、出生日期、性別、到達與離開資訊、預訂日期和通訊偏好。一部分客戶的資訊還包括支付卡號和支付卡有效期,但支付卡號已通過高階加密標準(AES-128)加密。解密支付卡號碼需要解鎖兩項金鑰,目前萬豪國際無法排除該第三方是否已經掌握這兩項金鑰。
事件發生後,科技記者Chris Fox評論道,儘管這不是最大的資料洩露事件,但這次的情況也非常糟糕。即使支付卡資訊已加密,該公司也認為該金鑰可能被盜。英國的資料監管機構正在調查這一洩漏事件,因此GDPR懲罰是跑不了了。儘管萬豪集團的總部位於美國,但在與歐盟公民打交道時,它必須遵守歐盟的GDPR規則。
一些網友評論,萬豪主動披露自己資料洩露的行為非常值得認可,但是ICO和其他國際監管機構仍然可能會裁定該公司採取行動速度太慢。
萬豪為受影響的使用者建立了一個專門的幫助網站,並且有提供的求助熱線。
網站網址:
https://answers.kroll.com/
文摘菌在此也提醒大家,連鎖酒店表示不會發送任何帶附件的通知郵件,也不會通過電子郵件向客戶索取任何資訊,因此遇到以上情況請謹慎對待。
2016年,萬豪以136億美元的報價成功收購喜達屋集團,合併後,萬豪成為全球最大酒店集團,旗下共擁有30個酒店品牌和5500家酒店。業務範圍橫跨全球100多個國家和地區,目前市值高達397億美元。
具體來說,喜達屋旗下品牌包括:W酒店(WHotels)、瑞吉酒店(St.Regis)、喜來登酒店與度假村(Sheraton Hotels&Resorts)、威斯汀酒店與度假村(Westin Hotels&Resorts)、源宿酒店(Element Hotels)、雅樂軒酒店(Aloft Hotels)、豪華精選酒店(The Luxury Collection)、臻品之選酒店(Tribute Portfolio)、艾美酒店與度假村(Le Meridien Hotels&Resorts)、福朋喜來登酒店(Four Points by Sheraton)及設計酒店(DesignHotels)。喜達屋分時度假酒店亦包括其中。
萬豪國際集團是世界上著名的酒店管理公司和入選財富全球500強名錄的企業。創建於1927年,總部位於美國華盛頓。其於1997年進入中國酒店業市場,並於此後快速發展。
其旗下品牌包括:J.W萬豪(JW Marriott Hotels & Resorts),萬麗(Renaissance Hotels & Resorts),萬怡(Courtyard),萬豪居家(Residence Inn),萬豪費爾菲得(Fairfield Inn),萬豪唐普雷斯(TownePlace Suites),萬豪春丘(SpringHill Suites),萬豪度假俱樂部(Marriott Vacation Club), 麗思 卡爾頓(Ritz-Carlton)等等
2018年1月初,萬豪國際集團曾因為有獎調查活動的資訊填報頁面,“國家”的列表裡,出現香港、澳門、臺灣以及西藏的選項,違反《中華人民共和國網路安全法》和《中華人民共和國廣告法》相關規定。上海市網信辦相關負責人責令其官方中文網站、中文版APP自行關閉一週。
最後,附上萬豪國際集團的官方宣告: