11月30日,全球酒店行业巨头万豪国际酒店集团(Marriott)公布,旗下酒店集团喜达屋(Starwood)的宾客预订数据库被第三方入侵,全球近5亿客户数据受到影响。消息公布后,当日万豪集团股价较前一交易日下跌5.59%,收于每股115.03美元。
万豪集团于9月8日收到一条内部安全工具发出的关于第三方试图访问喜达屋宾客预定数据库的警报,随后迅速展开调查。在调查过程中发现,自2014年起,就存在第三方对喜达屋网络未经授权的访问。万豪国际近期发现未经授权的第三方已复制并加密了某些信息,并采取措施试图将该等信息移出。直到今年11月19日,万豪集团确定信息的内容来自喜达屋宾客预订数据库。
该数据库中约有5亿名客户(2018年9月10日或之前曾在喜达屋酒店预订)的信息或被泄露,而这5亿名客户人中约有3.27亿人的信息包括如下内容:姓名、邮寄地址、电话号码、电子邮件地址、护照号码、SPG俱乐部账户信息、出生日期、性别、到达与离开信息、预定日期和通信偏好。部分客户可能被泄露的信息还包括支付卡号码和支付卡有效期,虽然这些数据已加密,但万豪集团无法排除该第三方是否已经掌握解码密钥。
值得注意的是,此次事件不同以往之处在于:黑客攻击的是万豪喜达屋的核心宾客预定系统,包含大量顶级优质客户的个人信息(如护照信息等),重要程度非比寻常。
2016年9月在完成收购喜达屋后,万豪一跃成为全球最大的连锁酒店集团(详见《华丽志》报道:获中国商务部批准,万豪收购喜达屋最后一盏绿灯也亮了)。据美联社报道,万豪集团目前在全球110多个国家拥有超过5800处酒店和110万间客房。
此次受影响的喜达屋旗下酒店品牌包括:W酒店(WHotels)、瑞吉酒店(St.Regis)、喜来登酒店及度假村(SheratonHotels&Resorts)、威斯汀酒店及度假村(WestinHotels&Resorts)、源宿酒店(ElementHotels)、雅乐轩酒店(AloftHotels)、豪华精选酒店(TheLuxuryCollection)、臻品之选酒店(TributePortfolio)、艾美酒店与度假村(LeMéridienHotels&Resorts)、福朋喜来登酒店(FourPointsbySheraton)及设计酒店(DesignHotels)。
Morris,Manning,andMartin律师事务所高级助理兼网络安全主席BessHinson表示:“有些人可能会感到好奇,该重大漏洞自2014年起就已经存在,为何现在才公布?众所周知,在并购交易中,潜在买家会审查标的公司关于潜在风险(包括隐私和数据安全)的陈述,以便计算出合适的收购价格。那么当时万豪集团收购喜达屋时,喜达屋给出的陈述究竟是什么样的?”
万豪集团已向相关执法部门上报了此次数据入侵案件,并将继续配合执法部门进行调查。
据悉,万豪集团将面临巨额罚款,目前具体数额无法估计。但专家表示,因为欧盟于2018年5月在数据保护条例(GDPR)中增加了对某些违反数据安全行为的罚款金额,所以此次罚款金额会高于过往,初步估计最高可达集团年销售收入的4%。
RobertW.Baird&Co分析师MichaelBellisario认为,万豪集团最大的财富在于其客户忠诚计划,此次事件或许对其品牌造成重大的负面影响,这将是一笔巨大的损失。
纽约司法部长办公室也表示将对万豪集团的违规行为展开调查。2017年,希尔顿酒店集团因在2015年泄露了35万张信用卡信息而向其支付了70万美元的罚款。
此外,万豪集团还可能受到美国联邦贸易委员会(FTC)的处罚。自2002年以来,FTC会对未能合理保护客户数据的公司(包括酒店经营者)提起法律诉讼。
此次万豪喜达屋数据泄露事件位列史上规模最大的黑客入侵事件之一,其它大型黑客事件包括:
- 2013年30亿雅虎用户信息被黑客窃取;
- 2016年加州AdultFinderNetworksInc运营的成人网站4.12亿用户信息被窃取;
- 今年3月,《华丽志》曾报道,美国运动品牌UnderArmour旗下的健康运动App——MyFitnessPal约有1.5亿用户的个人资料数据在2月遭黑客窃取。(详见:UnderArmour旗下健康运动AppMyFitnessPal1.5亿用户数据被黑客窃取)
以被入侵酒店核心数据系统的大小,访问数据的价值以及受影响的人数来衡量,此次事件是过去十年来全球酒店行业遭遇的最严重数据安全事故。此外,在2008年至2009年,黑客曾三次攻击温德姆酒店集团(WyndhamWorldwide)的网络和财产管理系统,涉嫌访问超过61.9万个账户的数据,(后估计)给该公司带来了1060万美元的罚款。
其它酒店行业的大型黑客事件包括:
2015年,希尔顿酒店、特朗普酒店、喜达屋、文华东方酒店和酒店特许经营公司White的销售系统泄露了信用卡付款细节;
2016年,OmniHotels&Resorts酒店集团受恶意软件攻击,49家酒店超过5万位宾客的信用卡和借记卡信息泄露;
2017年,凯悦集团旗下40家国际酒店的销售点(POS)系统泄露了信用卡付款细节;
2017年,洲际酒店集团(InterContinentalHotelsGroup)管理的1000家酒店的POS系统被黑客入侵。2016年时其旗下酒店品牌Kimpton的60家精品酒店和70家餐厅就曾被黑客入侵,据悉犯罪分子是通过在酒店前台的POS系统安装恶意插件获取这些数据的。
除酒店本身以外,相关的第三方酒店预订平台也是黑客攻击的重点。今年早些时候,Orbitz表示,平台系统泄露了2016年1月1日至2017年12月22日有过预订记录的宾客个人信息,泄露了约88万张银行卡信息。Booking.com(缤客)也曾因客户数据泄露案向1万名受害宾客支付了赔偿金。
在这起事件后,“谁该为客户信息安全负责?是酒店管理公司、酒店业主还是特许授权经营商?”酒店行业或将就此展开激烈讨论。
