萬豪集團5億用戶資訊泄漏被美國消費者起訴 或面臨巨額罰款

繼華住集團旗下連鎖酒店用戶資訊被曝洩露後，又一家酒店巨頭萬豪也攤上事兒了。萬豪堪稱“自曝型”選手。

萬豪國際集團官方微博發布聲明稱，旗下喜達屋酒店的一個客房預訂數據庫被黑客入侵，5億用戶資訊或已經外泄。

這可能會成為僅次於去年雅虎30億用戶資訊洩露後，歷史上第二大公司用戶洩露事件。

消息公布後，萬豪國際周五美股盤前一度大跌逾5%。

01

4年5億人資訊

萬豪國際集團是世界上著名的酒店管理公司和入選財富全球500強名錄的企業。創建於1927年，總部位於美國華盛頓。其於1997年進入中國酒店業市場，並於此後快速發展。

其旗下品牌包括：J.W萬豪（JW Marriott Hotels & Resorts），萬麗（Renaissance Hotels & Resorts），萬怡（Courtyard），萬豪居家（Residence Inn），萬豪費爾菲得（Fairfield Inn），萬豪唐普雷斯（TownePlace Suites），萬豪春丘（SpringHill Suites），萬豪度假俱樂部（Marriott Vacation Club）， 麗思 卡爾頓（Ritz-Carlton）等等。

2016年，萬豪以136億美元的報價成功收購喜達屋集團，合並後，萬豪成為全球最大酒店集團，旗下共擁有30個酒店品牌和5500家酒店。業務範圍橫跨全球100多個國家和地區，目前市值鋼彈397億美元。

具體來說，喜達屋旗下品牌包括：W酒店（WHotels）、瑞吉酒店（St.Regis）、喜來登酒店與度假村（Sheraton Hotels&Resorts）、威斯汀酒店與度假村（Westin Hotels&Resorts）、源宿酒店（Element Hotels）、雅樂軒酒店（Aloft Hotels）、豪華精選酒店（The Luxury Collection）、臻品之選酒店（Tribute Portfolio）、艾美酒店與度假村（Le Meridien Hotels&Resorts）、福朋喜來登酒店（Four Points by Sheraton）及設計酒店（DesignHotels）。喜達屋分時度假酒店亦包括其中。

聲明稱，已采取措施調查和處理涉及喜達屋賓客預訂數據庫的數據安全事件，目前萬豪國際無法排除第三方是否已經掌握能解密客戶支付卡號碼的兩項密鑰。

萬豪表示，尚未完成對數據庫中重覆信息的識別，但相信數據庫中包含在2018年9月10日或之前可以追溯到2014年的曾在喜達屋酒店預訂的最多約5億名客人的資訊。

很早之前就被入侵了，今年才發現，這反射弧是有多長……

這些客人中約有3.27億人的資訊包括如下資訊的組合：姓名、郵寄地址、電話號碼、電子郵件地址、護照號碼、SPG俱樂部账戶資訊、出生日期、性別、到達與離開資訊、預訂日期和通信偏好。

值得注意的是，泄漏資訊甚至還包括支付卡號和支付卡有效期，但支付卡號已通過高級加密標準(AES-128)加密。解密支付卡號碼需要解鎖兩項密鑰，目前萬豪國際無法排除該第三方是否已經掌握這兩項密鑰。

科技記者Chris Fox評論道，儘管這不是最大的數據洩露事件，但這次的情況也非常糟糕。如果黑客掌握破解密鑰即會造成直接損失。

萬豪國際集團已向相關執法部門報告此事件，並將繼續配合執法部門的調查，並已開始通知相關監管機構。

02

巨額罰款

據消息，馬薩諸塞州、紐約州和伊利諾伊州的司法部長很快宣布，他們將調查這起黑客襲擊事件。康涅狄格州發言人喬治·傑普森表示他也在調查此事。

隱私律師說，Uber最近與全美50個州和哥倫比亞特區的總檢察長就2016年一起數據洩露事件達成了1.48億美元的和解，顯示出各州的監管影響力。

“萬豪在國內最大的風險敞口可能是州司法部長執法行動，” Privacy Counsel LLC管理成員兼律師Paige Boshell稱。她說，各州可以“比聯邦貿易委員會更快、更準確地采取行動，並相互有效協調，以便更全面地執法”。

各州可以根據其消費者保護法令、數據違反通知標準和數據安全義務來實施隱私保護。

隱私律師表示，更多州的司法部長可能會參與調查萬豪是如何處理這一大規模違規行為的。他們表示，根據事件的先後順序，萬豪可能會在政府調查後面臨巨額財務處罰和消費者負面情緒。

Jeffer Mangels Butler & Mitchell LLP駐洛杉磯的網絡安全合作夥伴羅伯特-布勞恩（Robert Braun）表示，萬豪可能面臨來自紐約州司法部長的“巨額罰款”。他表示，大規模數據洩露“是國家監管機構出於政治原因非常樂意追查的一類事件”。

金融分析師表示，州檢察長調查的成本可能會損害萬豪的利潤。

穆迪酒店業分析師皮特-特龍貝塔（Pete Trombetta）表示， “萬豪集團擁有的喜達屋客房預訂數據庫數據洩露的近期影響包括與調查相關的直接成本，以及萬豪集團可能因數據洩露而面臨的任何訴訟或責任。”

並且美國消費者也提起集體訴訟。

03

近年多起資訊泄漏

其實在大數據泄漏，網絡安全事件層出不窮，像曾經轟動一時的Facebook事件，Uber洩露用戶資訊事件，都是歷歷在目的教訓。

酒店業界數據泄漏事件也很多次了，早在2013年，華住旗下漢庭等經濟型酒店便被曝出過 2000 萬條開房記錄被洩露，原因是消費者連接酒店Wi-Fi上網提交用戶記錄進行網頁認證時，被為酒店提供伺服器的公司第三方伺服器實時存儲，並因系統漏洞被黑客攻擊，最終導致資訊洩露。

就在前段時間，華住集團旗下連鎖酒店用戶資訊被曝疑似洩露，包括華住官網注冊資料、酒店入住登記的身份資訊及酒店開房記錄，住客姓名、手機號、郵箱、身份證號、登錄账號密碼等，共約 5 億條數據，其中有 1.3 億人的身份證資訊和 2.4 億條開房記錄。

11月初，麗笙酒店發布公告，稱會員資訊疑似洩露。據估算，至少有10%的麗笙獎勵計劃會員受到影響。

據報導，數年前，烏雲報告稱，如家、鹹陽國貿、杭州維景國際和驛家365快捷等全部或者部分使用了浙江慧達驛站網絡有限公司開發的酒店Wifi管理、認證管理系統。而浙江慧達在伺服器上實時存儲了這些酒店客戶的記錄，包括客戶名、身份證號、開房日期和房間號等隱私資訊。而浙江慧達系統上存在的漏洞使這些資訊有被洩露的風險。慧達驛站的無線門戶系統存在資訊安全加密等級較低問題，有資訊泄漏的安全隱患。

目前完好已開始向包括美國、加拿大和英國在內的房客通報了此次數據入侵事件。

鑒於這一數據入侵事件屬於歐盟GDPR法規的管轄範疇，如果喜達屋被發現違反了GDPR法規，那麽它可能面臨鋼彈其全球年收入4%的巨額罰款。