交罚款不长记性,万豪又泄露520万名酒店客户信息
3月31日,万豪国际集团发布公告称,该集团在今年1月中旬发生了数据泄露,但直到2月下旬才察觉。大约520万名酒店客户的个人信息受到了影响。
公告称,万豪旗下一家特许经营酒店的两个员工账号涉嫌访问了大量的访客信息。从1月中旬开始,有人使用这两名员工的登录凭据,访问了“数量超出预期的宾客信息。”在确认攻击存在后,万豪已经禁用了相关登录凭证,开始网络安全调查,实施高等级监控,并通知了相关客户。
泄露的信息包括:客人的联系方式(姓名、通讯地址、电子邮箱、手机号);会员账户信息(账号和积分余额,但不包括密码);其他个人信息(公司、性别、生日);其他服务计划(如航空公司的忠诚度计划);偏好(住宿/房间偏好、语言偏好)等。
不过,万豪称,并不是每一位住客都暴露了上述所有信息,且目前也没有证据证明此事件影响了客人的Bonvoy 帐户密码或 PIN、支付卡、护照号、身份证号或驾照号等敏感信息。
万豪的补救措施包括:建立一个自助服务网站,帮助客人确认自己的信息是否被泄露;禁用被暴露的万豪 Bonvoy 用户的密码,并在下一次登录时启用多因素身份验证,要求他们更改密码。另外,万豪还将为受影响的客人提供免费的一年的 IdentityWorks 个人信息监控服务。
这不是万豪第一次泄露数据了。去年,万豪刚刚为 2018 年的数据泄露向英国数据保护监管机构交了 1.24 亿美元罚款。在那次黑客入侵案件中,有 3.39 亿客户的记录遭到泄露,其中涉及欧洲经济区 31 个国家的居民以及 700 万英国居民。
今日截至发稿时,万豪股价盘前下跌了 7.08%。在这之前,从 2 月 21 日至 3 月 31 日,受疫情影响,万豪的股价腰斩,市值已经跌了一半。
2018 年的数据泄露事件曝光后,万豪股价最大跌幅曾达 8.7%。
2019 年 4 月 26 日,万豪 CFO Lenny Oberg 在与投资商的电话会议上表示,数据泄露事件给万豪带来了 2800 万美元的损失(税前),但这些损失被大约 2500 万美元的保险金抵消了,并没有影响万豪的调整后收入。
虽然黑客攻击和数据泄露一般不会对企业股价产生长期影响,但对用户造成的影响却是不可估量的。
腾讯安全数据安全团队负责人彭思翔告诉 36 氪,很多个人信息被盗窃后会流向暗网,被黑产买卖。一旦信息被盗走,要控制损失就变得很难。
“一般信息泄露后还能避免损失的,只可能是提前就对信息进行了加密处理,”彭思翔说,如果信息是明文记录的,那就很难限制黑产对它的使用。“也有一些信息会带有水印,但最多只能对购买方起到一点震慑作用。”