万豪集团5亿用户私密信息遭泄漏,美国消费者提起集体诉讼,或面临巨额罚款
继华住集团旗下连锁酒店用户信息被曝泄露后,又一家酒店巨头万豪也摊上事儿了。万豪堪称“自曝型”选手。
万豪国际集团官方微博发布声明称,旗下喜达屋酒店的一个客房预订数据库被黑客入侵,5亿用户信息或已经外泄。
这可能会成为仅次于去年雅虎30亿用户信息泄露后,历史上第二大公司用户泄露事件。
消息公布后,万豪国际周五美股盘前一度大跌逾5%。
文 | 胡可
来源 | 北京商报(BBT_JLHD)
01 4年5亿人信息
万豪国际集团是世界上著名的酒店管理公司和入选财富全球500强名录的企业。创建于1927年,总部位于美国华盛顿。其于1997年进入中国酒店业市场,并于此后快速发展。
其旗下品牌包括:J.W万豪(JW Marriott Hotels & Resorts),万丽(Renaissance Hotels & Resorts),万怡(Courtyard),万豪居家(Residence Inn),万豪费尔菲得(Fairfield Inn),万豪唐普雷斯(TownePlace Suites),万豪春丘(SpringHill Suites),万豪度假俱乐部(Marriott Vacation Club), 丽思 卡尔顿(Ritz-Carlton)等等。
2016年,万豪以136亿美元的报价成功收购喜达屋集团,合并后,万豪成为全球最大酒店集团,旗下共拥有30个酒店品牌和5500家酒店。业务范围横跨全球100多个国家和地区,目前市值高达397亿美元。
具体来说,喜达屋旗下品牌包括:W酒店(WHotels)、瑞吉酒店(St.Regis)、喜来登酒店与度假村(Sheraton Hotels&Resorts)、威斯汀酒店与度假村(Westin Hotels&Resorts)、源宿酒店(Element Hotels)、雅乐轩酒店(Aloft Hotels)、豪华精选酒店(The Luxury Collection)、臻品之选酒店(Tribute Portfolio)、艾美酒店与度假村(Le Meridien Hotels&Resorts)、福朋喜来登酒店(Four Points by Sheraton)及设计酒店(DesignHotels)。喜达屋分时度假酒店亦包括其中。
声明称,已采取措施调查和处理涉及喜达屋宾客预订数据库的数据安全事件,目前万豪国际无法排除第三方是否已经掌握能解密客户支付卡号码的两项密钥。
万豪表示,尚未完成对数据库中重复信息的识别,但相信数据库中包含在2018年9月10日或之前可以追溯到2014年的曾在喜达屋酒店预订的最多约5亿名客人的信息。
很早之前就被入侵了,今年才发现,这反射弧是有多长……
这些客人中约有3.27亿人的信息包括如下信息的组合:姓名、邮寄地址、电话号码、电子邮件地址、护照号码、SPG俱乐部账户信息、出生日期、性别、到达与离开信息、预订日期和通信偏好。
值得注意的是,泄漏信息甚至还包括支付卡号和支付卡有效期,但支付卡号已通过高级加密标准(AES-128)加密。解密支付卡号码需要解锁两项密钥,目前万豪国际无法排除该第三方是否已经掌握这两项密钥。
科技记者Chris Fox评论道,尽管这不是最大的数据泄露事件,但这次的情况也非常糟糕。如果黑客掌握破解密钥即会造成直接损失。
万豪国际集团已向相关执法部门报告此事件,并将继续配合执法部门的调查,并已开始通知相关监管机构。
02 巨额罚款
据消息,马萨诸塞州、纽约州和伊利诺伊州的司法部长很快宣布,他们将调查这起黑客袭击事件。康涅狄格州发言人乔治·杰普森表示他也在调查此事。
隐私律师说,Uber 最近与全美50个州和哥伦比亚特区的总检察长就2016年一起数据泄露事件达成了1.48亿美元的和解,显示出各州的监管影响力。
“万豪在国内最大的风险敞口可能是州司法部长执法行动,” Privacy Counsel LLC管理成员兼律师Paige Boshell称。她说,各州可以“比联邦贸易委员会更快、更准确地采取行动,并相互有效协调,以便更全面地执法”。
各州可以根据其消费者保护法令、数据违反通知标准和数据安全义务来实施隐私保护。
隐私律师表示,更多州的司法部长可能会参与调查万豪是如何处理这一大规模违规行为的。他们表示,根据事件的先后顺序,万豪可能会在政府调查后面临巨额财务处罚和消费者负面情绪。
Jeffer Mangels Butler & Mitchell LLP驻洛杉矶的网络安全合作伙伴罗伯特-布劳恩(Robert Braun)表示,万豪可能面临来自纽约州司法部长的“巨额罚款”。他表示,大规模数据泄露“是国家监管机构出于政治原因非常乐意追查的一类事件”。
金融分析师表示,州检察长调查的成本可能会损害万豪的利润。
穆迪酒店业分析师皮特-特龙贝塔(Pete Trombetta)表示, “万豪集团拥有的喜达屋客房预订数据库数据泄露的近期影响包括与调查相关的直接成本,以及万豪集团可能因数据泄露而面临的任何诉讼或责任。”
并且美国消费者也提起集体诉讼。
03 近年多起信息泄漏
其实在大数据泄漏,网络安全事件层出不穷,像曾经轰动一时的Facebook事件,Uber泄露用户信息事件,都是历历在目的教训。
酒店业界数据泄漏事件也很多次了,早在2013年,华住旗下汉庭等经济型酒店便被曝出过 2000 万条开房记录被泄露,原因是消费者连接酒店Wi-Fi上网提交用户记录进行网页认证时,被为酒店提供服务器的公司第三方服务器实时存储,并因系统漏洞被黑客攻击,最终导致信息泄露。
就在前段时间,华住集团旗下连锁酒店用户信息被曝疑似泄露,包括华住官网注册资料、酒店入住登记的身份信息及酒店开房记录,住客姓名、手机号、邮箱、身份证号、登录账号密码等,共约 5 亿条数据,其中有 1.3 亿人的身份证信息和 2.4 亿条开房记录。
11月初,丽笙酒店发布公告,称会员信息疑似泄露。据估算,至少有10%的丽笙奖励计划会员受到影响。
据报道,数年前,乌云报告称,如家、咸阳国贸、杭州维景国际和驿家365快捷等全部或者部分使用了浙江慧达驿站网络有限公司开发的酒店Wifi管理、认证管理系统。而浙江慧达在服务器上实时存储了这些酒店客户的记录,包括客户名、身份证号、开房日期和房间号等隐私信息。而浙江慧达系统上存在的漏洞使这些信息有被泄露的风险。慧达驿站的无线门户系统存在信息安全加密等级较低问题,有信息泄漏的安全隐患。
目前完好已开始向包括美国、加拿大和英国在内的房客通报了此次数据入侵事件。
鉴于这一数据入侵事件属于欧盟GDPR法规的管辖范畴,如果喜达屋被发现违反了GDPR法规,那么它可能面临高达其全球年收入4%的巨额罚款。