萬豪酒店520萬客人資料洩漏!你的姓名地址電話號碼生日等全被洩露了!

2020-12-21 海峽網

 

不到兩年,萬豪酒店再次發生數據洩露。本周二,萬豪酒店表示,公司有近520萬房客的個人信息被洩露。上一次萬豪有3.83億人次詳細個人信息被洩露。

1

事件回顧

3月31日,據CNET報導,萬豪酒店本周二宣布,該公司發生一起數據洩露事件,有近520萬房客個人信息被洩露。

這家酒店集團表示,洩露的個人信息可能包括姓名、地址、電子郵件、電話號碼和生日,還有忠實用戶帳戶的詳細信息,比如房間偏好。據悉,萬豪酒店注意到,2月底,有人在特許經營場所利用兩名員工的登錄憑據訪問了大量房客信息。

萬豪酒店聲稱,這起數據洩露事件正在調查,但不認為房客的信用卡號、護照信息或駕照號被洩露。目前,這家公司已經給受影響的房客發送通知郵件,並且為他們免費提供一年的個人信息監測。

對這家知名酒店集團而言,兩年不到,這是它發生的第二起重大安全事件。

2

上次更嚴重:索賠125億美元,被罰1.24億美元

2018年11月,萬豪酒店宣布,旗下喜達屋酒店(Starwood Hotel)的一個顧客預訂資料庫被黑客入侵,可能有多達5億人次預訂喜達屋酒店客人的詳細個人信息被洩露。

據悉,黑客入侵最早從2014年就已經開始,但公司直到2018年9月才第一次收到警報。這次洩露的5億人次信息中,約3.27億人的洩露信息包括姓名、郵寄地址、電話號碼、電子郵件地址、護照號碼、SPG俱樂部帳戶信息、出生日期、性別、到達與離開信息、預訂日期和通信偏好。更嚴重的是,對某些客人而言,洩露信息還包括支付卡號和支付卡有效期,雖然它們已經加密,但無法排除該第三方已經掌握密鑰的可能性。

經過一段時間調查後,萬豪酒店將遭遇信息洩露的客戶數量修正為3.83億。

針對本次事件,阿里雲安全的一篇分析文章指出:酒店集團數據洩露一般有三大原因:一是未經授權的第三方組織竊取數據;二是特權帳號被公開至GitHub導致洩露,開發人員將包含有資料庫帳號和密碼的代碼上傳至GitHub,被黑客掃描到以後進行了拖庫;三是POS機被惡意軟體感染,因POS機被植入惡意程序,導致支付卡信息被竊取。

此次數據洩露,萬豪酒店不僅引來訴訟,而且被政府監管部門重罰。訴訟上,美國Geragos&Geragos律師事務所律師本·梅塞拉斯和Underdog Law法律顧問麥可·富勒代表兩名原告大衛·詹森和克裡斯·哈裡斯對萬豪酒店提起集體訴訟,索賠125億美元。

罰款上,英國數據隱私監管機構宣布,萬豪酒店集團因在2014年發生數據洩露將面臨近9900萬英鎊(約合1.24億美元)的罰款。因為它違反了歐盟GDPR(通用數據保護條例)條例。GDPR中存在明確規定,所有機構必須對所持有的個人數據負責,包括在合作或交易時需要進行適當的盡職調查,以及採取適當的措施評估已取得的個人數據,以及評估如何保護這些數據。個人數據有真正的價值,因此機構有法律責任確保其安全,就像處理任何其他資產一樣。

 

3

安全反思

近年來,隨著個人數據的價值越來越大,數據洩露頻繁發生,一些用戶數據的「窪地」成為黑客攻擊的主要目標,比如酒店。事實上,除了萬豪酒店,洲際、希爾頓、凱悅、文華東方和華住等酒店集團均遭遇過用戶數據洩露事件。

2014和2015年:希爾頓酒店集團,洩露信息涉及超過36萬條支付卡數據;

2017年4月:洲際酒店集團,數據洩露涉及超過全球1000家酒店;

2017年10月:凱悅酒店集團,洩露數據涉及全球41家凱悅酒店;

2018年8月:華住酒店集團,洩露5億條數據,並在暗網被售賣;

2018年10月:麗笙(Radisson)酒店,具體洩露數據量未公布。

這些大型酒店集團一般分布廣,全球連鎖,擁有大量用戶,包括很多商務人士。這幾年,酒店已經成為黑客攻擊的重點目標之一。一旦成功竊取用戶數據,黑客就可以將數據掛在暗網售賣。

根據筆者統計,僅在2020年1月就發生兩起酒店數據洩露事件,分別是美國餐飲酒店公司Landry遭遇未經授權訪問洩露客戶支付卡數據,日本愛情酒店搜尋引擎HappyHotel發生數據洩露事件。

酒店行業數據洩露事件的頻繁發生,不僅影響酒店的品牌聲譽,而且嚴重危害廣大用戶的個人信息安全。

 

4

如何保護用戶隱私安全?

無論是酒店,還是其他企業,保護用戶隱私安全都是重中之重。

如何保護用戶隱私安全?酒店可以從防丟失、防濫用、防篡改和防洩漏著手。

一是嚴控代碼,告訴所有開發人員,不允許將任何開發代碼上傳到第三方平臺,已經上傳的代碼立即刪除;二是全業務滲透測試,啟動一次針對全業務的滲透,堵上可能存在威脅數據安全的漏洞;三是權限梳理,儘快完成對業務系統敏感數據、訪問人員和權限的梳理;四是數據加密,對梳理出來的敏感數據進行分類分級,確定哪些欄位必須加密,利用第三方的透明加密系統、雲上的加密服務/密鑰管理服務逐步完成系統改造。

如果涉及資料庫安全,企業應當定期對資料庫進行風險評估。使用風險評估工具對資料庫進行近乎實時監視的企業,會在加密後的數據離開資料庫時更清楚地發現這一切。

資料庫安全保障的實操,我們建議:

更換埠:不使用默認埠雖然無法杜絕黑客的入侵,但可以相對增加入侵難度;

公網屏蔽:只監聽內網埠屏蔽公網埠的請求,通過該策略繼續增加黑客的入侵難度;

使用普通用戶啟動:建議大家維護的所有db都使用禁止登錄的非root用戶啟動;

開啟驗證:這雖然是複雜、痛苦的一步,但卻是明智的選擇;

權限控制:建議大家針對自己維護的資料庫設置一套適合對應業務的權限控制、分配方案;

備份策略:一套可靠的本地備份邏輯+遠程備份存儲方案可以解決被黑、誤刪、機房漏水、伺服器報銷,甚至機房被核彈炸毀的場景;

恢復策略:建立一套能夠覆蓋多數災難場景的恢復策略來避免手忙腳亂是非常必要的;

敏感數據加密存儲:我們建議大家一定對任何敏感信息加密後再入庫,例如:密碼、郵箱、地址等等。

關於萬豪國際酒店集團公司

萬豪酒店集團一般指萬豪國際酒店集團公司

萬豪酒店為萬豪酒店集團旗下30個標誌性品牌之一。

萬豪國際酒店集團公司,即萬豪國際集團(紐約證券交易所代號:MAR)是全球首屈一指的國際酒店管理公司,萬豪擁有遍布全球130個國家和地區的超過6,500家酒店和30個品牌[1]。萬豪國際集團的總部位於美國馬裡蘭州貝塞斯達,僱用約300,000名員工。其2011財年的財報收入超過120億美元。

相關焦點

  • 萬豪酒店520萬客人資料洩漏惹得網友們狂吐槽
    你們都是透明人啦,說你呢!這是他們的傑作?歐耶,以後不住萬豪了!【萬豪酒店520萬客人資料洩漏 涉及個人地址和偏好等】2020年3月31日,萬豪酒店通報,約520萬名客人的資料可能被洩漏。洩露資料包括客戶姓名、地址、電話號碼、偏好等。
  • 萬豪酒店520萬客人資料洩漏,有你麼?
    在家憋了很長一段時間的大眾終於可以出去透透氣了,結果這家最大的國際連鎖酒店就被曝出客戶資料洩露了。3月31日,萬豪酒店通報,約有520萬客戶的資料可能被洩露,洩露資料包括客戶姓名、地址、電話號碼、偏好等。目前,萬豪酒店正在向受此漏洞影響的客人發送電子郵件,表示,可以提供為期一年的免費個人信息監控。
  • 時隔兩年再次洩露!萬豪酒店520萬客人資料洩露
    據外媒報導,萬豪連鎖酒店31日披露了一個安全漏洞,超過 520 萬使用該酒店忠誠度APP的酒店客戶受影響。這家連鎖酒店還表示,入侵者可以直接訪問萬豪的忠誠度數據,據悉信息包括聯繫方式(例如姓名、通訊地址、電郵地址及電話號碼)忠誠度帳戶信息(例如:帳號和積分餘額,但不包括密碼)其他個人資料(例如公司、性別、生日、日期和月份)夥伴關係和從屬關係(例如
  • 萬豪酒店520萬客人資料或洩漏
    3月31日,萬豪國際集團發布公告,稱約520萬名客人的信息可能被洩露,包括姓名、地址、聯繫方式、偏好等。2018年,萬豪曾發布公告稱,約5億名住客的信息被洩露。萬豪預計,被洩露的信息可能涉及多達520萬名客人,包括客人的聯繫方式(姓名、通訊地址、電子郵箱、手機號);會員帳戶信息(例如帳號和積分餘額,但不包括密碼;其他個人信息(例如公司、性別、出生日期和月份);住房偏好、語言偏好,以及合作和聯營商家常客信息,例如關聯的航空公司常旅客計劃和會員編號。
  • 萬豪酒店再次發生信息洩漏 涉及520萬客戶的個人信息
    3月31日,萬豪酒店通報,約520萬名客人的資料可能被洩漏。洩露資料包括客戶姓名、地址、電話號碼、生日日期、偏好等。萬豪否認客人的信用卡資料、護照號碼、駕駛執照等資料已被洩漏。萬豪表示,這些數據是通過俄羅斯特許經營場所2名員工的登錄憑證獲取的。這是萬豪過去2年發生的第2次重大資料洩漏事件。
  • 萬豪酒店520萬客人資料洩漏 公司股價年初以來下跌近50%
    萬豪酒店520萬客人資料洩漏 公司股價年初以來下跌近50%  Emma Chou • 2020-04-01 16:38:45 來源:前瞻網
  • 萬豪酒店客人隱私又洩漏520萬人信息「裸奔」!問題出在哪裡?
    作為全球知名的酒店,萬豪酒店又出事了!4月1日,外媒CNET報導稱,萬豪國際大約有520萬名客人的姓名、通訊地址、會員帳號和其他個人信息遭遇洩露。此消息一出,網友們又炸了:為何信息洩露屢禁不止?這下又要「裸奔」了~1萬豪520萬名客戶信息被洩露在萬豪酒店520萬名客人信息被洩露後,萬豪國際集團主動發布了公告。
  • 萬豪酒店520萬客人資料洩漏 涉及姓名、聯繫方式和住址等
    全球最大的酒店集團萬豪(以下簡稱「萬豪國際」)再次發生了信息洩露事件。4月1日,據外媒CNET報導稱,萬豪國際大約有520萬名客人的姓名、通訊地址、會員帳號和其他個人信息遭遇洩露。對此,北京商報記者聯繫了萬豪國際中國區方面相關負責人,該負責人回應稱,目前萬豪國際正在調查此事。
  • 萬豪酒店520萬客人信息被洩露!曾涉類似事件,被罰1億多美元
    作者|市界 王春曉編輯|朗明(截圖來自萬豪酒店官網新聞中心)3月31日,萬豪國際酒店通報稱,約有520萬名酒店客人的信息被洩露,洩露資料包括客人的聯繫方式、地址、出生日期等。(萬豪酒店稱洩露信息涉及姓名、電話、通訊地址等,但不包括信用卡及護照等信息)目前,調查仍在進行中。通報稱,約有520多萬人的信息可能被洩露,洩露的具體內容因人而異,包括客戶姓名、通訊地址、郵件地址、電話號碼、公司、性別、生日、個人偏好等。
  • 萬豪酒店又闖禍了!再次遭遇信息洩露 此次涉及520萬名酒店客人
    萬豪酒店又闖禍了!再次遭遇信息洩露 此次涉及520萬名酒店客人時間:2020-04-01 18:52   來源:南方都市報   責任編輯:沫朵 川北在線核心提示:原標題:萬豪酒店又闖禍了!再次遭遇信息洩露 此次涉及520萬名酒店客人 南都訊 在不到兩年的時間裡,萬豪發生了第二次大規模數據洩露事件。
  • 萬豪酒店再次發生信息洩漏 涉及520萬客戶信息
    北京商報訊(記者 關子辰 楊卉)全球最大的酒店集團萬豪(以下簡稱「萬豪國際」)再次發生了信息洩漏事件。4月1日,據外媒CNET報導稱,萬豪國際大約有520萬名客人的姓名、通訊地址、會員帳號和其他個人信息遭遇洩露。
  • 萬豪又有520萬客戶信息洩露
    在不到兩年時間裡萬豪發生第二次大規模數據洩露事件當地時間3月31日萬豪(Marriott)國際集團表示正在調查一起涉及多達520萬客戶個人信息洩露事件在官網的聲明中萬豪表示涉及到的客戶信息包括▼姓名、公司、生日、住址、電話號碼郵箱地址、會員帳號以及積分餘額、關聯的航空公司等聲明同時表示↓↓目前事件仍在調查中
  • 萬豪國際酒店約520萬客戶個人訊息外洩
    3月31日,萬豪國際酒店(Marriott)發通報稱,約520萬名客人的資料可能被洩漏。這是繼2018年11月5億客人信息被洩漏後的又一次重大資料洩漏事件。總部位於馬裡蘭州貝塞斯達的萬豪在通報中說,此次洩漏的資料包括客戶姓名、地址、電話號碼、生日日期、性別、夥伴與從屬關係、偏好等;但指信用卡資料、護照號碼、駕駛執照、帳戶密碼等資料未被洩漏。通報稱,此次數據洩漏,是今年2月底發現的。俄羅斯特許經營物業2名員工通過登入憑證,獲取大量客戶資料。
  • 520萬客戶信息再遭洩露!萬豪酒店陷入「水逆局」?
    這不,4月1日,全球最大的酒店集團萬豪國際再一次曝出信息洩露事件。據外媒CNET報導稱,萬豪國際大約有520萬名客人的姓名、通訊地址、會員帳號和其他個人信息遭遇洩露。此消息一出,萬豪酒店再一次攀上了爭議高峰。網友們紛紛表示:「為何萬豪信息洩露屢禁不止?
  • 萬豪酒店上熱搜!3億客人信息洩露官方被重罰
    11月3日,萬豪酒店集團在微博上搜索,因為酒店洩露了超過3億名賓客的信息。據媒體報導,2018年11月底,洩漏事件的細節包括姓名、郵寄地址、電話號碼、電子郵件地址、護照號碼、出生日期、性別、退房時間、預訂日期和通信偏好,以及部分客人的支付卡號碼和有效期。
  • 萬豪酒店再現信息洩露:傳涉及520萬人 股價年內腰斬過半
    來源:華雲網華雲網4月2日訊(元一綜合)據外媒報導,全球最大的酒店集團萬豪再次發生了信息洩露事件,大約有520萬名客人的姓名、通訊地址、會員帳號和其他個人信息遭遇洩露。據報導,萬豪國際旗下品牌運營和特許經營的酒店,正在使用一款應用程式為酒店賓客提供服務。2020年2月底,有人可能使用某特許經營酒店兩名員工的登錄憑據訪問了大量賓客信息。萬豪酒店方面表示,這些被洩露的信息可能包含部分客人的聯繫方式、忠誠帳戶信息以及性別、生日、客房偏好等個人信息。
  • 萬豪520萬客戶信息洩露致市值蒸發18億美元
    來源:21世紀經濟報導原標題:萬豪520萬客戶信息洩露致市值蒸發18億美元 酒店業「如臨大敵」當地時間3月31日,萬豪國際酒店集團宣布發生一起數據洩露事件,涉及約520萬房客的個人信息被洩露。據萬豪在官網發布的聲明,洩露的個人信息包括客戶姓名、公司、生日、住址、電話號碼、郵箱地址、會員帳號以及積分餘額、關聯的航空公司等。萬豪表示,這次被入侵可以追溯到1月中旬,最終於2月底被發現。此外,根據萬豪的說明,該集團已將數據洩露事件告知客戶,並為受影響的客戶免費提供長達一年的個人信息監控服務。
  • 萬豪酒店再爆520萬人信息洩露,個人隱私怎麼保護?
    【萬豪酒店2年內第二次信息洩露】3月31日,萬豪酒店宣布發生一起數據洩露事件,近520萬房客個人信息被洩露,包括姓名、地址、電子郵件、電話號碼和生日,但不認為房客的信用卡號、護照信息或駕照號被洩露。萬豪酒店注意到,有人在2月底在特許經營場所利用兩名員工的登錄憑據訪問了大量房客信息,從而發現數據洩露事件。目前正在調查。這是兩年之內萬豪發生的第二起重大安全事件。
  • 萬豪酒店再現信息洩露 涉及520萬客戶
    北京商報訊(記者 關子辰 楊卉)全球最大的酒店集團萬豪(以下簡稱「萬豪國際」)再次發生了信息洩露事件。4月1日,據外媒CNET報導稱,萬豪國際大約有520萬名客人的姓名、通訊地址、會員帳號和其他個人信息遭遇洩露。
  • 萬豪酒店再次洩露520萬房客個人信息 如何杜絕此類網絡安全事件?
    本周二,萬豪酒店發布公告宣布,該公司近期發生了一起數據洩露事件,有大約520萬房客的個人信息遭到洩露。該公告在發布之後,再次引發了人們對當前網絡安全的普遍擔憂。兩年2次 重大用戶數據洩露事件萬豪酒店在公告中表示,從2月底開始,有人在特許經營場所利用兩名員工的登錄憑證訪問了大量房客信息。這次洩露的房客個人信息包括姓名、地址、郵箱、生日、電話號碼,如果是萬豪酒店的忠實用戶,可能還包含房間偏好等更為詳細的隱私數據。