週五,連鎖酒店萬豪國際集團在一份聲明中宣布新聞稿喜達屋酒店系列酒店的預訂系統已被洩露,屬於 5 億客人的敏感個人信息被洩露。
目前尚不清楚誰應對數據洩露負責,他們如何成功洩露數據,或者他們的意圖是什麼。我們所知道的事實是並暗示該連鎖酒店在保護客人個人信息方面明顯不足。
據新聞稿稱,最初的違規行為發生在 2014 年,一直持續到今年 9 月,當時內部安全工具發出警報,稱未經授權的一方試圖訪問公司數據庫。這意味著,整整四年來,萬豪酒店一直在不經意間將其客人的私人信息直接洩露給了黑客。
一旦檢測到未經授權的數據庫訪問嘗試,萬豪諮詢了安全專家,以幫助確定到底發生了什麼。對此事的法醫調查發現,黑客複製並加密了數據庫中的信息。調查人員在解密信息後最近得出結論,洩露的數據來自喜達屋賓客預訂數據庫。
萬豪旗下喜達屋酒店系列包括 W 酒店、瑞吉酒店、喜來登酒店及度假村、威斯汀酒店及度假村、源宿酒店、雅樂軒酒店、豪華精選酒店、Tribute Portfolio、艾美酒店及度假村、喜來登四點酒店、Design Hotels 以及喜達屋品牌分時度假酒店。 2018 年 9 月 10 日之前入住過這些酒店的任何客人都可能受到影響。萬豪品牌酒店並未受到損害,因為萬豪和喜達屋的賓客預訂數據庫是分開的。
客人預訂系統中包含的個人信息非常詳細,而允許這些個人信息落入壞人之手是一種可怕的疏忽。
根據萬豪的聲明,被洩露的個人數據類型包括:“姓名、郵寄地址、電話號碼、電子郵件地址、護照號碼、喜達屋優先顧客 (SPG) 帳戶信息、出生日期、性別、抵達和離開信息、預訂日期和通信偏好的某種組合。”最重要的是,萬豪確認信用卡號碼以及信用卡有效期也被洩露。儘管新聞稿聲稱卡號已加密,但萬豪目前無法確認加密密鑰是否被盜。如果是這樣,那麼我們可以假設卡號被未經授權的一方訪問。
萬豪首席執行官阿恩·索倫森 (Arne Sorensen) 代表萬豪酒店集團道歉,並表示:“我們對發生的這起事件深感遺憾。我們沒有達到客人應得的,也沒有達到我們對自己的期望。我們正在盡一切努力支持我們的客人,並利用吸取的經驗教訓更好地前進。”索倫森繼續解釋了公司的下一步計劃,“今天,萬豪重申了我們對世界各地客人的承諾。我們正在努力確保我們的客人通過專門的網站和電話能夠得到有關其個人信息的問題的答案。我們還將繼續支持執法部門的工作,並與領先的安全專家合作進行改進。最後,我們將投入必要的資源來逐步淘汰喜達屋系統,並加速對我們網絡的持續安全增強。”
得知萬豪酒店正在採取哪些措施來加強安全並確保類似事件不再發生,令人鼓舞,但現實是損害已經造成。數百萬人的私人數據被暴露給未知的、未經授權的、很可能是邪惡的第三方。由於該事件,數百萬人現在面臨身份被盜的風險,並且由於萬豪忽視部署足夠的安全措施來保護客戶數據,數百萬人的信用卡號碼被盜。
隨著對違規行為的進一步調查的展開,萬豪受到的影響可能會持續一段時間。此外,他們可能還需要處理一系列訴訟和經濟處罰。儘管遭受了不可避免的財務打擊,該公司在其報告中披露美國證券交易委員會備案那它“不相信這一事件會影響其長期財務健康。”
無論洩露後他們的財務狀況是否完好無損,這一事件都凸顯了一個令人不安的事實,即許多大公司在預防和檢測對其網絡的網絡攻擊方面嚴重準備不足。我們只需要看看最近發生的事件2013年雅虎和2017 年 Equifax證明這些類型的大規模安全漏洞非常普遍,而且似乎更頻繁地發生。
為了防止這種情況發生,事情需要快速改變。首先,公司需要徹底評估並採取必要的措施來加強其安全實踐並保護客戶的私人數據。其次,嚴格的數據保護法規可以幫助激勵公司更好地保護客戶的私人數據。例如,歐盟最近頒布了更嚴格的數據保護法規,可能會對不遵守規定的公司處以巨額罰款。美國也正在推行類似的法規,對於沒有採取適當措施保護客戶數據的公司也將處以巨額罰款。也許這些舉措將定下正確的基調,並證明最大限度地減少公司收集的個人身份客戶數據量的重要性,以及防止這些數據最終落入未經授權的第三方手中的絕對必要性。
在萬豪案中,仍然存在幾個緊迫的問題:哪些安全缺陷最終導致黑客破壞了數據庫?為什麼花了四年時間才發現違規行為?誰對這次攻擊負責?他們如何處理這些數據?為什麼萬豪不知道加密的信用卡數據是否被洩露?這些問題的答案可以為萬豪和其他人提供批判性的見解,了解為什麼會發生這種情況,更重要的是,他們可以採取哪些措施來確保這種情況不再發生。
如果您想採取進一步的預防措施來確保連接到時的在線安全酒店無線網絡,您可能需要考慮使用 VPN。看看我們的最好的VPN服務頁面了解更多信息。