万豪5亿用户数据泄露：忠诚度计划更是重灾区

【环球旅讯】万豪近日披露的5亿客人数据泄露，不仅关乎信用卡信息，还波及用户的忠诚度积分。据市场调研机构RFi Group估算，全球酒旅行业消费者未兑换的忠诚度积分价值高达2380亿美元。对黑客而言，访问奖励门户网站并用消费者来之不易的积分和里程快速兑换礼品卡或住宿体验已经变得越来越容易。

零售欺诈解决方案供应商Forter的首席执行官Michael Reitblat说：“骗子很容易消费忠诚度计划的积分，现在提供忠诚度积分的公司越来越多，因为忠诚度计划会刺激重复购买习惯，但忠诚度信息一旦泄露，则会造成恶劣的后果。”

万豪国际集团声明称旗下喜达屋酒店的客房预订数据库被黑客入侵，过去四年曾在该酒店预订的约5亿客人的信息或被泄露，具体涉及护照号码、旅行记录、忠诚度计划帐户和加密信用卡数据。万豪于2016年收购了喜达屋酒店及度假村集团，并于今年初整合了两家公司的奖励计划。近日公开了数据泄露事件后，万豪股价下跌幅度高达6.9％。

除万豪以外，希尔顿全球控股和英国航空的忠诚度计划数据也曾被泄露。根据风险管控公司Chargebacks911分析，美国消费者合计拥有33亿个忠诚度会员账号，每年可累积价值大约480亿美元的积分和里程。但是，大约72％的忠诚度计划都经历过欺诈。

忠诚度计划数据对违法犯罪份子的价值越来越高。根据信息服务公司Experian Plc的数据：一个消费者的社保账号在暗网的售价为1美元，而忠诚度账户信息的售价为20美元。

欺诈者获取客户的忠诚度账户后，最简单的做法是在积分或里程兑换网站上兑换礼品卡或具体商品。在某些情况下，积分可以先兑换酒店住宿或机票，随后取消订单换成礼品卡。与信用卡发卡机构不同，忠诚度计划运营商并没有义务保护被欺诈的客户。

商业保险公司Beazley Plc反信息泄露服务的负责人Katherine Keefe表示：“凭借信用卡账号，犯罪分子虽然可以在用户申请换卡的间隙时间内进行非法操作，但是造成的损失并不会太大。”

在打击欺诈方面，酒店、航司和零售商经常处于劣势，因为他们希望简化客户兑换奖励的体验，这意味着黑客也可以更轻松地访问帐户。另外，由于客户并不会频繁地检查忠诚度帐户，因此即使积分被盗用也不一定会发现。

随着忠诚度欺诈案件的增加，保险公司的业务范围也在一步步扩大。据保险公司CFC Underwriting的Lindsey Nelson介绍，一些保险公司会不断扩大企业客户的投保范畴，以弥补黑客入侵后客户流失所带来的财务困难。

Nelson认为：“对任何公司而言，如果其奖励和忠诚度计划会员具有价值，数据泄露必定会严重影响未来业务的发展，这方面的风险尚未引起足够的重视。”

风险管理与保险咨询公司Marsh LLC的网络产品负责人Robert Parisi表示，很多企业的网络安全政策并不覆盖声誉损失的风险，但近年来越来越多的保险公司已经开始提供相应的服务。Parisi拒绝对万豪的情况发表评论。（本文由Xenia编译自Skift）