泄露全球數億人信息,這家巨頭被罰超3.6億元
責編:gltian |2024-10-12 16:28:42由于2014年至2020年期間發生的多起重大數據泄露事件,影響了全球超過3.44億人,10月9日,萬豪同意支付5200萬美元(約合人民幣3.67億元)罰款,并制定一項全面的信息安全計劃。
達成用戶賠償和安全改進的和解協議
這是當日宣布的兩項和解協議之一。第一項是萬豪與美國49個州總檢察長及華盛頓特區組成的聯盟之間達成的和解協議。這一聯盟在網絡入侵者竊取了包括部分財務信息在內的敏感客戶信息后發起調查。該筆5200萬美元賠償將分配給所有50位聯盟成員。
第二項是萬豪與美國聯邦貿易委員會(FTC)達成的和解協議,要求萬豪國際及其子公司喜達屋酒店及度假酒店國際集團(下稱“喜達屋”)在未來20年內實施更嚴格的網絡安全措施,并向FTC證明其合規情況。此外,萬豪還需為客戶提供便捷的方式,允許他們請求刪除酒店已收集的個人信息。
正如慣例,依據酒店官網和兩項協議聲明,萬豪在同意和解的同時,并未承認任何與相關指控有關的責任。
聲明還指出:“作為與FTC和州總檢察長達成解決方案的一部分,萬豪將繼續強化其數據隱私和信息安全計劃,許多措施已經在實施或正在推進中。”
聲明補充道:“例如,萬豪為美國客戶提供了請求刪除個人信息的流程,并為萬豪旅享家(Marriott Bonvoy)會員開設了在線門戶,允許他們報告可能存在的可疑賬號活動。此外,萬豪還為旅享家賬號引入了多因素身份驗證功能。”
萬豪數年內發生多起重大數據泄露事件
這兩項調查的源頭是2014年至2020年間發生的一系列網絡入侵事件,這些事件涉及管理著全球超過7000家酒店萬豪以及其在2016年收購的喜達屋集團。
根據FTC起訴書,首次數據泄露事件涉及超過4萬名喜達屋客戶的支付卡信息。
在萬豪宣布收購喜達屋的四天后,喜達屋通知客戶,數據竊賊自2014年6月起在其網絡中潛伏了14個月,期間竊取了客戶姓名和卡號,直到系統將其驅逐。
第二次數據泄露始于2014年7月,并持續了四年多,直到2018年9月才被發現。此次入侵涉及超過3.39億條喜達屋客戶記錄的泄露,其中包括525萬份未加密的護照號碼。
第三次數據泄露發生于2018年9月,影響了萬豪網絡,且耗時近兩年,直到2020年2月才被察覺。入侵者在此期間竊取了180萬美國人的姓名、實際地址和電子郵件地址、電話號碼、出生月份和日期,以及忠誠會員賬號信息。
萬豪內部安全控制極為薄弱,將實施改進計劃
起訴書指出,所有這些數據泄露事件的發生源于萬豪和喜達屋極為薄弱的安全措施,包括不當的密碼管理和訪問控制、缺乏有效的網絡分段和軟件補丁程序,以及多因素身份驗證未普及,日志和網絡監控也十分不足。
為了了結這些指控,萬豪同意向前述美國各州和首都華盛頓支付5200萬美元賠償。但是,該公司一如既往地否認有任何過失。為便于理解這一金額大小,萬豪這一全球酒店巨頭在2023年的收入約為237.1億美元,因此5200萬美元對它來說幾乎無關痛癢。
此外,萬豪還同意實施一系列措施,旨在提高其數據安全性,并盡可能減少客戶信息的收集。這些措施包括僅保留為實現特定信息收集目的所必需的個人信息。
根據協議,萬豪還需提供一個鏈接,供客戶請求刪除與其電子郵件或忠誠獎勵計劃賬號相關的任何個人信息。
此外,萬豪和喜達屋還必須根據協議建立一個信息安全計劃,每兩年由獨立的第三方評估,該計劃包括多因素身份驗證、網絡分段和數據加密等措施。
最后,兩家公司還需為消費者提供一種方式,允許他們審查其萬豪旅享家忠誠會員賬號中的任何未經授權的活動。萬豪還承諾恢復任何被網絡犯罪分子盜取的忠誠會員積分。
參考資料:https://www.theregister.com/2024/10/09/marriott_settlements_data_breaches/