泄露3000万客人信息,万豪被罚1.6亿元

界面新闻 界面新闻 郑萃颖 2020-11-04 10:25:00

万豪表示将继续在保障系统的安全措施上进行大量投资。

近日,万豪国际集团被英国信息专员办公室罚款1840万英镑(约合1.6亿元人民币),原因是由于系统安全漏洞而暴露了3000万欧洲经济区居民的个人数据,其中受影响的英国居民约700万。

英国信息专员办公室(Information Commissioner's Office,简称“ICO”)最早提出的罚款金额为9920万英镑,但该机构最后大幅减少了罚款金额。ICO表示,“考虑到万豪采取了减轻事件影响的措施,以及在Covid-19对他们业务的经济影响”。今年二季度,万豪净亏损2.34亿美元,是近九年来的首次季度亏损。

ICO所指事件可追溯到2014年,喜达屋酒店及度假村遭受网络攻击,直到2018年9月才被发现(当时喜达屋已经被万豪收购)。2018年5月,欧洲联盟出台了《通用数据保护条例》(General Data Protection Regulation),这次的罚款也是基于该条例的新规则。

万豪国际估计,在这次泄漏事件中,约有3.39亿客人的姓名、邮寄地址、电话、电子邮件、护照号码等数据遭遇泄露。

ICO在一份声明中说:“在2014年,一个未知的攻击者在喜达屋系统中的设备上安装了一段称为'web shell’的代码,使他们能够远程访问和编辑该设备的内容。”

“利用此访问权限来安装恶意软件,使攻击者能够以特权用户的身份远程访问系统。因此攻击者可以不受限制地访问相关设备,以及该帐户可以访问的网络上的其他设备。

攻击者安装了更多工具,以收集喜达屋网络内其他用户的登录凭据。使用这些凭据,攻击者可以访问和导出存储喜达屋客户预订数据的数据库。”

英国律师事务所Mishcon de Reya的合伙人尼尔·拜利斯对酒店经营网(hotelmanagement)分析称:“用户数据的侵权发生在万豪收购喜达屋之前,因此很难怪罪于万豪,不过这是一个很好的教训,在收购一家公司时,应该对其数据保护政策进行谨慎的尽职调查;另外还需考虑到,旅行和运输行业处理的个人数据量和业务结构的高风险性。”

拥有大量高质量用户数据的大型酒店集团、航空公司一直被黑客觊觎。

就在今年10月,英国航空公司因2018年数据泄露事件,也被ICO罚款2000万英镑,理由是其“未能保护其40万以上客户的个人和财务详细信息”,这也是ICO迄今为止的最大罚单,不过和万豪一样,考虑到疫情对企业的影响,ICO的罚款金额比最初提出的1.83亿英镑要少得多。今年3月,ICO还对国泰航空的安全漏洞进行了罚款,国泰航空在2018年公布遭遇黑客入侵,影响到全球940万人的数据,包括来英国居民约11万人。

对于ICO的罚款决定,万豪国际表示:“对此事件深表遗憾,万豪将继续致力于保护客人信息的隐私和安全,并继续在保障系统的安全措施上进行大量投资。ICO认可万豪在发现事件后采取的措施,以及迅速告知并保护其客人的利益。

“万豪希望向客人保证,数据泄漏事件和ICO的处罚,仅涉及喜达屋酒店及度假村的独立网络,该网络已不再使用。”

界面新闻
界面新闻

界面新闻,只服务于独立思考的人群。

已发表文章 99 篇

© 以商业目的使用环球旅讯拥有版权的内容,请遵循环球旅讯 版权声明 获得授权。非商业目的使用,请遵循 CC BY-NC 4.0

评论

请登录 参与评论
微信扫码分享