萬豪旗下喜達屋酒店集團近5億客戶數據泄露：到底發生了什麼？

11月30日，全球酒店行業巨頭萬豪國際酒店集團（Marriott）公布，旗下酒店集團喜達屋（Starwood）的賓客預訂資料庫被第三方入侵，全球近5億客戶數據受到影響。消息公布後，當日萬豪集團股價較前一交易日下跌5.59%，收於每股115.03美元。

萬豪集團於9月8日收到一條內部安全工具發出的關於第三方試圖訪問喜達屋賓客預定資料庫的警報，隨後迅速展開調查。在調查過程中發現，自2014年起，就存在第三方對喜達屋網路未經授權的訪問。萬豪國際近期發現未經授權的第三方已複製並加密了某些信息，並採取措施試圖將該等信息移出。直到今年11月19日，萬豪集團確定信息的內容來自喜達屋賓客預訂資料庫。

該資料庫中約有5億名客戶（2018年9月10日或之前曾在喜達屋酒店預訂）的信息或被泄露，而這5億名客戶人中約有3.27億人的信息包括如下內容：姓名、郵寄地址、電話號碼、電子郵件地址、護照號碼、SPG 俱樂部賬戶信息、出生日期、性別、到達與離開信息、預定日期和通信偏好。部分客戶可能被泄露的信息還包括支付卡號碼和支付卡有效期，雖然這些數據已加密，但萬豪集團無法排除該第三方是否已經掌握解碼密鑰。

值得注意的是，此次事件不同以往之處在於：黑客攻擊的是萬豪喜達屋的核心賓客預定系統，包含大量頂級優質客戶的個人信息（如護照信息等），重要程度非比尋常。

2016年9月在完成收購喜達屋後，萬豪一躍成為全球最大的連鎖酒店集團（詳見《華麗志》報道：獲中國商務部批准，萬豪收購喜達屋最後一盞綠燈也亮了）。據美聯社報道，萬豪集團目前在全球110多個國家擁有超過5800處酒店和110萬間客房。

此次受影響的喜達屋旗下酒店品牌包括：W酒店（W Hotels）、瑞吉酒店（St. Regis）、喜來登酒店及度假村（Sheraton Hotels & Resorts）、威斯汀酒店及度假村（Westin Hotels & Resorts）、源宿酒店（Element Hotels）、雅樂軒酒店（Aloft Hotels）、豪華精選酒店（The Luxury Collection）、臻品之選酒店（Tribute Portfolio）、艾美酒店與度假村（Le Méridien Hotels & Resorts）、福朋喜來登酒店（Four Points by Sheraton）及設計酒店（Design Hotels）。

Morris, Manning, and Martin 律師事務所高級助理兼網路安全主席 Bess Hinson 表示：「有些人可能會感到好奇，該重大漏洞自2014年起就已經存在，為何現在才公布？眾所周知，在併購交易中，潛在買家會審查標的公司關於潛在風險（包括隱私和數據安全）的陳述，以便計算出合適的收購價格。那麼當時萬豪集團收購喜達屋時，喜達屋給出的陳述究竟是什麼樣的？」

萬豪集團已向相關執法部門上報了此次數據入侵案件，並將繼續配合執法部門進行調查。

據悉，萬豪集團將面臨巨額罰款，目前具體數額無法估計。但專家表示，因為歐盟於2018年5月在數據保護條例（GDPR）中增加了對某些違反數據安全行為的罰款金額，所以此次罰款金額會高於過往，初步估計最高可達集團年銷售收入的4%。

Robert W. Baird & Co 分析師 Michael Bellisario 認為，萬豪集團最大的財富在於其客戶忠誠計劃，此次事件或許對其品牌造成重大的負面影響，這將是一筆巨大的損失。

紐約司法部長辦公室也表示將對萬豪集團的違規行為展開調查。2017年，希爾頓酒店集團因在2015年泄露了35萬張信用卡信息而向其支付了70萬美元的罰款。

此外，萬豪集團還可能受到美國聯邦貿易委員會（FTC）的處罰。自2002年以來，FTC 會對未能合理保護客戶數據的公司（包括酒店經營者）提起法律訴訟。

此次萬豪喜達屋數據泄露事件位列史上規模最大的黑客入侵事件之一，其它大型黑客事件包括：

2013年30億雅虎用戶信息被黑客竊取；

2016年加州 AdultFinder Networks Inc 運營的成人網站4.12億用戶信息被竊取；

今年3月，《華麗志》曾報道，美國運動品牌 Under Armour 旗下的健康運動 App —— MyFitnessPal 約有1.5億用戶的個人資料數據在2月遭黑客竊取。（詳見：Under Armour 旗下健康運動 App MyFitnessPal 1.5億用戶數據被黑客竊取）

以被入侵酒店核心數據系統的大小，訪問數據的價值以及受影響的人數來衡量，此次事件是過去十年來全球酒店行業遭遇的最嚴重數據安全事故。此外，在2008年至2009年，黑客曾三次攻擊溫德姆酒店集團（Wyndham Worldwide）的網路和財產管理系統，涉嫌訪問超過61.9萬個賬戶的數據，（後估計）給該公司帶來了1060萬美元的罰款。

其它酒店行業的大型黑客事件包括：

2015年，希爾頓酒店、特朗普酒店、喜達屋、文華東方酒店和酒店特許經營公司 White 的銷售系統泄露了信用卡付款細節；

2016年，Omni Hotels＆Resorts 酒店集團受惡意軟體攻擊，49家酒店超過5萬位賓客的信用卡和借記卡信息泄露；

2017年，凱悅集團旗下40家國際酒店的銷售點（POS）系統泄露了信用卡付款細節；

2017年，洲際酒店集團（InterContinental Hotels Group）管理的1000家酒店的POS系統被黑客入侵。2016年時其旗下酒店品牌 Kimpton 的60家精品酒店和70家餐廳就曾被黑客入侵，據悉犯罪分子是通過在酒店前台的 POS 系統安裝惡意插件獲取這些數據的。

在這起事件後，「誰該為客戶信息安全負責？是酒店管理公司、酒店業主還是特許授權經營商？」酒店行業或將就此展開激烈討論。

丨消息來源：官方新聞稿、Skift、彭博社、Business Insider 和《華麗志》往期報道

丨圖片來源：視覺中國、萬豪官網

丨責任編輯：劉雋

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！