GDPR最新罰單:繼英航之后,萬豪也因泄露3.83億用戶信息面臨9900萬英鎊罰款
責編:gltian |2019-07-12 13:11:48繼英國航空公司 (British Airways,簡稱BA) 因數據泄露被開出創紀錄的2.3 億美元罰單之后,國際酒店集團萬豪也將面臨英國數據隱私監管機構開出的 9920萬英鎊(約1. 23 億美元)的罰單,原因是其于 2016 年收購的喜達屋酒店多年前所發生的數據泄露事件影響了?3.39 億用戶。
據悉,萬豪酒店于 2018 年 9 月 8 日發現了這一漏洞,但一直等到 11 月 30 日才對外披露了此事,而該漏洞甚至可以追溯到 2014 年的喜達屋酒店數據泄露問題(萬豪于 2016 年收購喜達屋酒店),這使得攻擊者有能力自 2014 年開始就訪問喜達屋酒店數據庫。至于受影響的用戶數量,萬豪給出的最初估值為 5 億,現在也減少到了 3.83 億。
雖然攻擊者只復制了 910 萬個加密的支付卡號碼,但是長期存在的數據泄露現象使得他們能夠訪問數億客戶的敏感個人信息,包括護照復印件、出生日期以及酒店預訂日期等等。
本周二(7月9日),萬豪向美國證券交易委員會 (SEC) 提交了一份報告,披露了英國信息委員會辦公室 (ICO) 因其違反歐盟《通用數據保護條例》(GDPR,2018年5月25日生效)而向其處以 99,200,396 英鎊罰款的事情。
針對此事,萬豪國際集團總裁兼首席執行官 Arne Sorenson 表示:
我們對 ICO 的決定通知感到失望,我們將對此提出異議。萬豪一直與 ICO 合作在調查這起事件,該事件涉及對喜達屋客戶預訂數據庫的一起犯罪攻擊。
據悉,就在 ICO 宣布針對萬豪酒店的罰款通知前一天,英國航空公司 (BA) 也因為 2018 年的網站違規行為影響了 50 萬名客戶而收到了 GDPR 實施以來最高的罰款記錄——1.83 億英鎊。對于這項罰款,英國航空公司同樣提出了質疑,表示會繼續上訴。
萬豪酒店也打算針對此次罰款進行上訴,谷歌也是如此,由于其違反了《通用數據保護條例》(GDPR) 的透明性原則、提供充分信息以及針對個性化廣告缺乏數據處理的合法性基礎,而被法國數據監管機構 CNIL 處以 5000 萬歐元的高額罰款。
今天,ICO 表示,ICO 代表其他歐盟成員監管機構針已經對萬豪違規行為進行了調查,結果發現,共計 3000 萬歐洲居民受到了萬豪數據泄露事件的影響,其中包括 700 萬英國居民。而在 2016 年萬豪收購之前兩年,喜達屋的酒店預訂系統就已經遭到了破壞。但是這一問題直到 2018 年才被發現,這也就意味著,自 2014 年起攻擊者就能夠訪問喜達屋的數據庫。
對此,ICO 已經裁定萬豪在收購喜達屋之時未能進行 “充分的盡職調查”,并且沒有采足夠的措施來增強安全性。
ICO 專員 Elizabeth Denham 評論稱:
GDPR 明確規定,組織必須對其持有的個人數據負責。這包括在進行公司收購時進行適當的盡職調查,并制定適當的問責措施,在評估已經獲取的個人數據的同時,還需要評估這些數據是如何受到保護的。個人數據具有實際價值,因此組織有法律義務確保其安全性,就如同他們對待任何其他資產一樣。如果不這樣做,ICO 會毫不猶豫地采取強有力的行動,以切實地保護公眾的權力和安全。