[]3.83亿客户记录被泄露后,万豪竟然又被爆泄露用户数据


不到两年 , 万豪酒店再次发生数据泄露 。 近日 , 万豪酒店表示 , 公司有近520万房客的个人信息被泄露 。 上一次万豪有3.83亿人次详细个人信息被泄露 。
[]3.83亿客户记录被泄露后,万豪竟然又被爆泄露用户数据
本文插图
1、事件回顾
3月31日 , 据CNET报道 , 万豪酒店本周二宣布 , 该公司发生一起数据泄露事件 , 有近520万房客个人信息被泄露 。
这家酒店集团表示 , 泄露的个人信息可能包括姓名、地址、电子邮件、电话号码和生日 , 还有忠实用户账户的详细信息 , 比如房间偏好 。 据悉 , 万豪酒店注意到 , 2月底 , 有人在特许经营场所利用两名员工的登录凭据访问了大量房客信息 。
万豪酒店声称 , 这起数据泄露事件正在调查 , 但不认为房客的信用卡号、护照信息或驾照号被泄露 。 目前 , 这家公司已经给受影响的房客发送通知邮件 , 并且为他们免费提供一年的个人信息监测 。
对这家知名酒店集团而言 , 两年不到 , 这是它发生的第二起重大安全事件 。
2、上次更严重:索赔125亿美元 , 被罚1.24亿美元
2018年11月 , 万豪酒店宣布 , 旗下喜达屋酒店(Starwood Hotel)的一个顾客预订数据库被黑客入侵 , 可能有多达5亿人次预订喜达屋酒店客人的详细个人信息被泄露 。
据悉 , 黑客入侵最早从2014年就已经开始 , 但公司直到2018年9月才第一次收到警报 。 这次泄露的5亿人次信息中 , 约3.27亿人的泄露信息包括姓名、邮寄地址、电话号码、电子邮件地址、护照号码、SPG俱乐部账户信息、出生日期、性别、到达与离开信息、预订日期和通信偏好 。 更严重的是 , 对某些客人而言 , 泄露信息还包括支付卡号和支付卡有效期 , 虽然它们已经加密 , 但无法排除该第三方已经掌握密钥的可能性 。
经过一段时间调查后 , 万豪酒店将遭遇信息泄露的客户数量修正为3.83亿 。
针对本次事件 , 阿里云安全的一篇分析文章指出:酒店集团数据泄露一般有三大原因:一是未经授权的第三方组织窃取数据;二是特权账号被公开至GitHub导致泄露 , 开发人员将包含有数据库账号和密码的代码上传至GitHub , 被黑客扫描到以后进行了拖库;三是POS机被恶意软件感染 , 因POS机被植入恶意程序 , 导致支付卡信息被窃取 。
[]3.83亿客户记录被泄露后,万豪竟然又被爆泄露用户数据
本文插图
此次数据泄露 , 万豪酒店不仅引来诉讼 , 而且被政府监管部门重罚 。 诉讼上 , 美国Geragos&Geragos律师事务所律师本·梅塞拉斯和Underdog Law法律顾问迈克尔·富勒代表两名原告大卫·约翰逊和克里斯·哈里斯对万豪酒店提起集体诉讼 , 索赔125亿美元 。
罚款上 , 英国数据隐私监管机构宣布 , 万豪酒店集团因在2014年发生数据泄露将面临近9900万英镑(约合1.24亿美元)的罚款 。 因为它违反了欧盟GDPR(通用数据保护条例)条例 。 GDPR中存在明确规定 , 所有机构必须对所持有的个人数据负责 , 包括在合作或交易时需要进行适当的尽职调查 , 以及采取适当的措施评估已取得的个人数据 , 以及评估如何保护这些数据 。 个人数据有真正的价值 , 因此机构有法律责任确保其安全 , 就像处理任何其他资产一样 。
3、安全反思
近年来 , 随着个人数据的价值越来越大 , 数据泄露频繁发生 , 一些用户数据的“洼地”成为黑客攻击的主要目标 , 比如酒店 。 事实上 , 除了万豪酒店 , 洲际、希尔顿、凯悦、文华东方和华住等酒店集团均遭遇过用户数据泄露事件 。
2014和2015年:希尔顿酒店集团 , 泄露信息涉及超过36万条支付卡数据;
2017年4月:洲际酒店集团 , 数据泄露涉及超过全球1000家酒店;
2017年10月:凯悦酒店集团 , 泄露数据涉及全球41家凯悦酒店;