5亿房客信息泄露,竟然过了4年才发现!这家酒店巨头要倒霉了
万豪国际集团11月30日发布公告称,旗下喜达屋酒店客房预订数据库遭黑客入侵,最多约5亿名客人的信息可能被泄露。目前多国监管部门已经开始着手就此事件进行调查。
继华住集团旗下连锁酒店用户信息被曝泄露后,又一家酒店巨头万豪也摊上事儿了。万豪堪称“自曝型”选手。
万豪国际集团11月30日发布公告称,旗下喜达屋酒店客房预订数据库遭黑客入侵,最多约5亿名客人的信息可能被泄露。目前多国监管部门已经开始着手就此事件进行调查。
作为一家酒店遍布全球的大型集团,客户信息泄露事件让万豪国际集团站上风口浪尖。美国上市的万豪国际周五大跌5.59%。
万豪国际集团11月30日发布的公告称,该集团内部安全工具曾在9月8日发出警报,有第三方试图访问喜达屋宾客预订数据库。经过初步调查后,万豪国际集团于11月19日确定,今年9月10日及之前喜达屋酒店预订数据库中的宾客信息曾在未经授权的情况下被访问,最多可能涉及约5亿名客人。其中3.27亿人的信息包括,姓名、地址、电话、生日、护照号码、预定日期等,甚至部分人的支付卡号和支付卡有效期等同时遭到泄露。
此次事件令人震惊的是,信息泄露最早始于2014年,但直到2018年9月8日,万豪国际集团才收到内部安全工具发出的警报。这导致2018年9月10日及之前喜达屋酒店预订数据库中的宾客信息可能遭泄露。
万豪国际集团遭遇史上规模最大的黑客入侵
资料显示,万豪国际集团在2016年3月斥资136亿美元收购喜达屋酒店及度假酒店国际集团,创造全球最大的连锁酒店。合并后公司在全球拥有特许经营超过6700家酒店,客房总数达110万间。
万豪国际集团称此次用户数据泄露事件仅与喜达屋旗下的喜来登、威斯汀、瑞吉、W等酒店品牌有关,而其他不使用同一系统的酒店未受影响。万豪国际集团首席执行官苏安励称,他对此事件深表歉意,正在积极采取行动,不遗余力地帮助受影响的宾客。目前,包括英国、美国在内的多国监管机构已宣布计划调查这起事件。
万豪方面还补充,可能泄露的还包括加密的信用卡信息,且不能排除加密密匙同时被盗的可能性。
万豪CEO阿恩·索伦森(Arne Sorenson)在声明中表示,该集团将向那些受到影响的客人发邮件。此外,为了向信息被泄露的客人提供更多信息,万豪已经搭建了一个网站,还将向其在美国和其他一些国家和地区的客人提供为期一年的欺诈识别服务。
据NBC报道,此次万豪遭遇的数据泄露可能是史上规模最大的黑客入侵之一。
万豪声明
万豪网络安全受质疑
然客户信息泄露丑闻让万豪股票大跌超5%,但分析师似乎最初并不关心财务影响:"对品牌潜在影响的不确定性可能会对今天的交易情绪造成压力,"RBC Capital Markets的Wes Golladay当地时间周五在一份分析师声明中写道。然而,"就像其他公司已经解决了的大数据泄露问题一样,我们希望(万豪)也已经做到了"他说。
在一份8K报告文件中,万豪表示其有购买网络保险。该公司表示正在调查该保险在这起事件里面覆盖到什么范围。但在大多数情况下,保险大大抵消了这类入侵行为的成本。
万豪表示,这起事件的大部分细节尚不清楚,并有待调查。该公司表示正在调查网络攻击的各个方面,包括它是如何发生的,是否访问了未加密的支付数据,或者为什么在2014年入侵开始时安保程序没有被激活,以及其他细节。
由于黑客开始入侵的时间在万豪收购喜达屋之前,有舆论质疑万豪在与竞争对手喜达屋的合并之前是如何进行网络安全尽职调查。
以信息数量衡量,喜达屋酒店本次数据泄露事件仅次于2013年雅虎30亿账户遭窃。当时雅虎承担的诉讼成本超过4700万美元。万豪表示,现在估计此次黑客攻击造成的财务损失还“为时过早”,该集团的网络保险可以支付部分费用,这起事件不会影响其长期财务健康。
我们应该怎么办?
对于万豪客户,最关心的就是自己的信息是否被泄露?哪些信息被泄露?应该采取哪些补救措施?对此万豪也作出了解答。
·我的信息是否泄露?
如果您在2018年9月10日或之前曾经预订喜达屋酒店,您提供的数据可能受到影响。
·哪些信息被泄露?
从喜达屋宾客预订数据库中拷贝的数据包含在喜达屋酒店预订房间的客人的信息,包含姓名、邮寄地址、电话号码、电邮地址、护照号码、SPG 俱乐部会员账户资料、出生日期、性别、入住和退房信息、预订日期及通讯偏好等信息。
信息的组合视每位宾客的情况不同。对于某些客人而言,信息还包括支付卡号和支付卡有效期,但支付卡号已通过高级加密标准(AES-128)加密。解密支付卡号码需要解锁两项密钥,目前万豪国际无法排除该第三方是否已经掌握这两项密钥。
·哪些酒店可能受影响?
喜达屋旗下品牌包括: W酒店 、瑞吉酒店、喜来登酒店及度假村 、威斯汀酒店及度假村、源宿酒店、雅乐轩酒店、豪华精选酒店、臻品之选酒店、艾美酒店及度假村、福朋喜来登酒店及设计酒店。喜达屋分时度假酒店也包含在内。
·有多少人受到影响?
目前,万豪国际尚未完成对数据库中重复信息的识别,但相信数据库中包含曾在喜达屋酒店预订的最多约5亿名宾客的信息。
·电邮通知
2018年11月30日起,若受影响客人的电子邮件地址已在喜达屋客人预订数据库中,万豪国际将陆续向其发送电子邮件通知。
·专用电话服务中心
万豪国际已设立了专门的电话服务中心(中国:400-120-0845),以解答您对此事件的疑问。
万豪提醒客户:
1.定期更改密码。避免使用容易猜到的密码。避免不同账户使用相同密码。
2.查阅您的银行卡账户结算单,留意是否有任何未经授权的交易,一旦发现,立即通知发卡银行。
3.对于企图通过网络欺诈(一般称为“网络钓鱼”)收集数据的第三方(包括使用虚假网站链接),要保持警惕。万豪国际不会通过电话或电邮要求您提供密码。
4.如您认为自己的身份被盗用,或个人资料被滥用,应立即联络您所在国家的数据保护机构或当地执法部门。
近年多起信息泄漏
其实在大数据泄漏,网络安全事件层出不穷,酒店业界数据泄漏事件也很多次了。
早在2013年,华住旗下汉庭等经济型酒店便被曝出过 2000 万条开房记录被泄露,原因是消费者连接酒店Wi-Fi上网提交用户记录进行网页认证时,被为酒店提供服务器的公司第三方服务器实时存储,并因系统漏洞被黑客攻击,最终导致信息泄露。
就在前段时间,华住集团旗下连锁酒店用户信息被曝疑似泄露,包括华住官网注册资料、酒店入住登记的身份信息及酒店开房记录,住客姓名、手机号、邮箱、身份证号、登录账号密码等,共约 5 亿条数据,其中有 1.3 亿人的身份证信息和 2.4 亿条开房记录。
11月初,丽笙酒店发布公告,称会员信息疑似泄露。据估算,至少有10%的丽笙奖励计划会员受到影响。
据报道,数年前,乌云报告称,如家、咸阳国贸、杭州维景国际和驿家365快捷等全部或者部分使用了浙江慧达驿站网络有限公司开发的酒店Wifi管理、认证管理系统。而浙江慧达在服务器上实时存储了这些酒店客户的记录,包括客户名、身份证号、开房日期和房间号等隐私信息。而浙江慧达系统上存在的漏洞使这些信息有被泄露的风险。慧达驿站的无线门户系统存在信息安全加密等级较低问题,有信息泄漏的安全隐患。
目前完好已开始向包括美国、加拿大和英国在内的房客通报了此次数据入侵事件。
鉴于这一数据入侵事件属于欧盟GDPR法规的管辖范畴,如果喜达屋被发现违反了GDPR法规,那么它可能面临高达其全球年收入4%的巨额罚款
来源:中国经济网综合自:每日经济新闻、央视财经、北京商报