查看原文
其他

美国多个州政府对万豪数据泄露展开调查,史上最高额罚款或将出现

蒋琳 隐私护卫队 2019-03-30

11月30日,万豪国际酒店集团公布旗下喜达屋酒店约5亿客人的信息泄露之后,事件持续发酵。截至目前,美国纽约州、马萨诸塞州、伊利诺伊州和马里兰州的总检察长公开表示已发起调查,FBI也表示正在密切关注事态发展。



数据尚未在暗网上出售,或为情报目的窃取



万豪国际在递交给美国证券交易委员会的材料中称,其内部安全系统于9月8日在喜达屋位于美国的预订数据库里监控到了异常访问,有一个未授权的组织复制并加密了里面的数据。调查结果发现,类似的未授权访问最远可以追溯到2014年——喜达屋被万豪国际收购之前。直到11月19日,万豪国际才破解了加密并最终确定哪些数据被窃。


万豪国际还提到,为了帮助用户监控和保护自己的酒店数据,他们已经采取了以下措施:


1、建立专用网站和呼叫中心(info.starwoodhotels.com)。



网站上的“最常见问题”实时更新,呼叫中心每天开放并支持多种语言,有任何事件相关问题都可以拨打。


2、邮件通知。从11月30日起向喜达屋预订数据库里受到影响的客人滚动发送邮件。


3、向美国、加拿大、英国客人提供免费注册Web Watcher服务。这项服务可以监测和提醒个人数据是否在网上被共享、售卖。


“我们对此次事件表示深深的歉意”,万豪国际主席兼CEO Arne Sorenson在材料最后说,“我们没有提供客人他们应得的服务,也没有达到自身的期望。”


不过,财经媒体Market Watch发现,万豪国际刚在11月6日向SEC提交了最新季度报告,虽然报告的撰写时间在万豪国际展开对数据泄漏事件的调查之后,但报告里却只字未提此事。


据纽约时报报道,美国网络安全公司Recorded Future调查发现,截至目前,喜达屋的5亿客人数据尚未在暗网上出售,这意味着黑客可能不是以卖掉这批数据获利为目的。一位华盛顿的网络安全专家认为,被窃数据没有在市场上出现,很可能因为该事件是国家出于获取情报目的而收集的。


美国多个州政府已发起调查


这并不是喜达屋第一次遭受数据泄露。早在2015年,喜达屋的支付信息就曾被黑客窃取,数据范围涉及54个地方。尤其今年以来,各个行业的数据泄露仿佛成了“家常便饭”,而涉事企业的回应大多时候并不令人满意。


美国参议员Ron Wyden是隐私保护立法的忠实拥趸,不久前他刚公开了一份隐私立法草案,提出若企业违法,CEO将面临最高20年监禁和500万美元的罚款。他对科技网站Gizmodo表示,根据以往的经验,万豪这次的回复也不会例外——企业道歉,宣称自己重视客人隐私,然后向受到长达数年影响的美国人提供毫无用处的信用监测。


“显然目前的监管起不到任何作用,联邦贸易委员会(FTC)需要实权来处罚那些丢失或违规使用美国人隐私信息的企业“,Wyden说,除非让万豪国际这样的企业真切地感受到几十亿美元罚款或高层管理人员入狱带来的威胁感,他们才会“真正把隐私保护当一回事儿”。


事实上,已经有不少相关机构就此事件展开了调查。


美国联邦调查局(FBI)公开表示,已经关注到万豪国际数据泄露事件且正在追踪事态发展。如果有人发现任何可疑的身份盗窃案件,可以报告给其互联网犯罪投诉中心。


纽约、马萨诸塞、马里兰和伊利诺伊等各州的总检察长也纷纷开始着手调查此事。纽约总检察长Barbara Underwood称,“纽约居民需要知道他们的个人信息是否安全”;马萨诸塞州总检察长Maura Healey则在Facebook上写道:“这次事件可能影响上百万人的个人信息,公众理应了解这是怎么发生的。”


此外,借由万豪国际数据泄露事件,弗吉尼亚州参议员Mark Warner向议会建议,对企业收集数据最小化进行立法。他提出,议会应该确保企业不在不必要的情况下储存敏感的消费者数据,新的法律应该让企业对安全损失负起真正的责任。


由于万豪国际拥有全球业务,它还可能面临欧盟的处罚。根据《一般数据保护条例》,企业必须在72小时内向监管机构报告数据泄露事件,还可能面临最高全球营收4%的罚款。


从此次事件涉及的数据规模、敏感程度以及时间跨度来看,Forrester Research的安全研究员Enza Iannopollo认为,万豪国际很有可能触发首个史上最高额的罚款。



    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存