大数据文摘出品
作者:魏子敏、蒋宝尚
今日,万豪国际集团官方微博发布声明称,旗下喜达屋酒店的一个客房预订数据库被黑客入侵,五亿用户信息或已经外泄。这可能会成为仅次于去年雅虎30亿用户信息泄露后,历史上第二大公司用户泄露事件。
从万豪酒店向美国监管机构提交的声明中我们得知,在9月10日或之前,就已经检测到有未经许可就访问数据库的行为,具体来说,泄露行为可以追溯到2014年。
未经授权的第三方己复制并加密了某些信息,并采取措施试图将该等信息移出。2018年11月19日,万豪国际成功解密信息,并确定信息的内容来自喜达屋宾客预订数据库。
除此之外,并没有透露更具体的黑客行为细节。但网络安全专家表示,2016年收购喜达屋可能会让黑客悄然留在喜达屋的数据库中。
之后,万豪国际美股盘前跌逾5%。
这一被“黑”的数据库中包含5亿多客户的信息,其中3.27亿用户的信息包括姓名、邮寄地址、电话号码、电子邮件地址、护照号码、SPG俱乐部账户信息、出生日期、性别、到达与离开信息、预订日期和通信偏好。一部分客户的信息还包括支付卡号和支付卡有效期,但支付卡号已通过高级加密标准(AES-128)加密。解密支付卡号码需要解锁两项密钥,目前万豪国际无法排除该第三方是否已经掌握这两项密钥。
事件发生后,科技记者Chris Fox评论道,尽管这不是最大的数据泄露事件,但这次的情况也非常糟糕。即使支付卡信息已加密,该公司也认为该密钥可能被盗。英国的数据监管机构正在调查这一泄漏事件,因此GDPR惩罚是跑不了了。尽管万豪集团的总部位于美国,但在与欧盟公民打交道时,它必须遵守欧盟的GDPR规则。
一些网友评论,万豪主动披露自己数据泄露的行为非常值得认可,但是ICO和其他国际监管机构仍然可能会裁定该公司采取行动速度太慢。
万豪为受影响的用户建立了一个专门的帮助网站,并且有提供的求助热线。
网站网址:
https://answers.kroll.com/
文摘菌在此也提醒大家,连锁酒店表示不会发送任何带附件的通知邮件,也不会通过电子邮件向客户索取任何信息,因此遇到以上情况请谨慎对待。
2016年,万豪以136亿美米的报价成功收购喜达屋集团,合并后,万豪成为全球最大酒店集团,旗下共拥有30个酒店品牌和5500家酒店。业务范围横跨全球100多个国家和地区,目前市值高达397亿美米。
具体来说,喜达屋旗下品牌包括:W酒店(WHotels)、瑞吉酒店(St.Regis)、喜来登酒店与度假村(Sheraton Hotels&Resorts)、威斯汀酒店与度假村(Westin Hotels&Resorts)、源宿酒店(Element Hotels)、雅乐轩酒店(Aloft Hotels)、豪华精选酒店(The Luxury Collection)、臻品之选酒店(Tribute Portfolio)、艾美酒店与度假村(Le Meridien Hotels&Resorts)、福朋喜来登酒店(Four Points by Sheraton)及设计酒店(DesignHotels)。喜达屋分时度假酒店亦包括其中。
万豪国际集团是世界上著名的酒店管理公司和入选财富全球500强名录的企业。创建于1927年,总部位于美国华盛顿。其于1997年进入中国酒店业市场,并于此后快速发展。
其旗下品牌包括:J.W万豪(JW Marriott Hotels & Resorts),万丽(Renaissance Hotels & Resorts),万怡(Courtyard),万豪居家(Residence Inn),万豪费尔菲得(Fairfield Inn),万豪唐普雷斯(TownePlace Suites),万豪春丘(SpringHill Suites),万豪度假俱乐部(Marriott Vacation Club),丽思卡尔顿(Ritz-Carlton)等等
2018年1月初,万豪国际集团曾因为有奖调查活动的信息填报页面,“国家”的列表里,出现香港、澳门、导航以及西藏的选项,违反《中华人民共和国网络安全法》和《中华人民共和国广告法》相关规定。上海市网信办相关负责人责令其官方中文网站、中文版APP自行关闭一周。
最后,附上万豪国际集团的官方声明: