萬豪再次報告數據泄露，520 萬客戶信息疑泄露

在不到兩年的時間裏，萬豪遭遇了第二次重大的數據泄露，受影響的客人多達520萬。萬豪最近表示，黑客使用了加盟酒店兩名員工的身份信息進行登陸，從而進入了萬豪的酒店管理系統。

2018年11月30日，萬豪稱旗下喜達屋酒店的一個客房預訂數據庫被黑客入侵，在2018年9月10日或以前曾預訂該酒店的最多約5億名客人的信息或被泄露。據風險評估機構AIR Worldwide估算，當時的此次數據泄露，形成萬豪的損失在2億美圓至6億美圓之間。

另外一方面，當時歐洲監管部門就數據泄露事件向萬豪作出了1.23億美圓的罰款決定。

萬豪認爲，最近的此次數據泄露始於1月中旬，一直持續到2月底，萬豪才發現其中漏洞。

3月31日，萬豪以電子郵件的形式通知了這次可能受影響的客戶，而且創建了一個自助服務網站，爲那些想要肯定本身是否受這次事件影響的客戶提供幫助，並進一步提供泄露數據類別查詢服務。

此外，在此次事件中可能會泄露信息的Marriott Bonvoy會員已禁用密碼，並要求其在下次登陸時更改密碼，並提示客戶啓用多因素身份驗證。

據萬豪稱，對於每一個受影響的客戶，泄露的信息可能包含如下幾類：

聯繫人詳細信息（例如，姓名、郵寄地址、電子郵件地址和電話號碼）

會員賬戶信息（例如，賬號和積分餘額，但不包括密碼）

其餘我的詳細信息（例如公司、性別、出生日期）

夥伴關係和從屬關係（例如，關聯的航空公司忠誠項目和人數）

偏好設置（例如，住宿/房間偏好設置和語言偏好設置）

這次數據泄露覆蓋了520萬名客人，泄露信息包括聯繫方式（通信地址、電子郵件和電話號碼等）、忠誠度帳戶信息、我的信息（性別、生日等）、關聯的忠誠度項目和入住偏好等。每位用戶只泄露了上述的部分信息而並不是全部。

萬豪表示，儘管調查仍在進行，但客人的旅享家忠誠度帳戶和支付卡的登陸密碼、護照或駕照等信息沒有被泄露。

因爲萬豪購買了網絡安全保險，公司將結合這次數據泄露的規模影響等因素，與保險公司進行保險索賠。目前萬豪估計，此次事件形成經濟損失等不會太大。

安全解決方案提供商PerimeterX的安全專員Ameet Naik表示，旅遊企業當前忙於應對新冠疫情的影響，但同時也需對網絡安全保持警戒。

Naik 稱，「過去一個月內，旅遊和酒店網站的帳號劫持數量顯著增加，在全部登陸嘗試中的佔比高達80%。雖然旅客待在家中，但黑客仍在四處活動。」

「帳號劫持是企業面臨的主要威脅。比起尋找企業網絡安全防護系統的漏洞，盜竊有效憑證從前端直接登陸更加簡單且更爲有利可圖。」

「黑客會利用自動機器人對大量的被盜憑證進行登錄嘗試，最終找到一個有效的用戶名和密碼，利用該身份購買產品進行轉售，耗盡忠誠度積分或竊取我的信息。而被竊取的數據不可避免地會流入暗網，加重帳號劫持的循環性破壞。」 Naik說道。

萬豪已向受這次數據泄露影響的客人發送了通知郵件，並創建了專門網站以提供更多信息。

今年2月，超過1060萬個曾入住美高梅度假酒店的旅客的我的信息被髮布至黑客論壇，泄露信息包括全名、家庭地址、電話號碼和電子郵件。美高梅當時稱，泄露的信息不包含客人的財務數據或帳戶密碼。

萬豪官方聲明：Marriott International Notifies Guests of Property System Incident