万豪再次报告数据泄露，520 万客户信息疑泄露

在不到两年的时间里，万豪遭遇了第二次重大的数据泄露，受影响的客人多达520万。万豪最近表示，黑客使用了加盟酒店两名员工的身份信息进行登录，从而进入了万豪的酒店管理系统。

2018年11月30日，万豪称旗下喜达屋酒店的一个客房预订数据库被黑客入侵，在2018年9月10日或之前曾预订该酒店的最多约5亿名客人的信息或被泄露。据风险评估机构AIR Worldwide估算，当时的这次数据泄露，造成万豪的损失在2亿美元至6亿美元之间。

另一方面，当时欧洲监管部门就数据泄露事件向万豪做出了1.23亿美元的罚款决定。

万豪认为，最近的这次数据泄露始于1月中旬，一直持续到2月底，万豪才发现其中漏洞。

3月31日，万豪以电子邮件的形式通知了此次可能受影响的客户，并且建立了一个自助服务网站，为那些想要确定自己是否受此次事件影响的客户提供帮助，并进一步提供泄露数据类别查询服务。

此外，在这次事件中可能会泄露信息的Marriott Bonvoy会员已禁用密码，并要求其在下次登录时更改密码，并提示客户启用多因素身份验证。

据万豪称，对于每个受影响的客户，泄露的信息可能包含以下几类：

联系人详细信息（例如，姓名、邮寄地址、电子邮件地址和电话号码）

会员帐户信息（例如，帐号和积分余额，但不包括密码）

其他个人详细信息（例如公司、性别、出生日期）

伙伴关系和从属关系（例如，关联的航空公司忠诚项目和人数）

偏好设置（例如，住宿/房间偏好设置和语言偏好设置）

此次数据泄露覆盖了520万名客人，泄露信息包括联系方式（通讯地址、电子邮件和电话号码等）、忠诚度账户信息、个人信息（性别、生日等）、关联的忠诚度项目和入住偏好等。每位用户只泄露了上述的部分信息而并非所有。

万豪表示，尽管调查仍在进行，但客人的旅享家忠诚度账户和支付卡的登录密码、护照或驾照等信息没有被泄露。

由于万豪购买了网络安全保险，公司将结合此次数据泄露的规模影响等因素，与保险公司进行保险索赔。目前万豪估计，这次事件造成经济损失等不会太大。

安全解决方案提供商PerimeterX的安全专员Ameet Naik表示，旅游企业当前忙于应对新冠疫情的影响，但同时也需对网络安全保持警惕。

Naik 称，“过去一个月内，旅游和酒店网站的账号劫持数量显著增长，在所有登录尝试中的占比高达80%。虽然旅客待在家中，但黑客仍在四处活动。”

“账号劫持是企业面临的主要威胁。比起寻找企业网络安全防御系统的漏洞，盗窃有效凭证从前端直接登录更加简单且更为有利可图。”

“黑客会利用自动机器人对大量的被盗凭证进行登陆尝试，最终找到一个有效的用户名和密码，利用该身份购买产品进行转售，耗尽忠诚度积分或窃取个人信息。而被窃取的数据不可避免地会流入暗网，加剧账号劫持的循环性破坏。” Naik说道。

万豪已向受此次数据泄露影响的客人发送了通知邮件，并建立了专门网站以提供更多信息。

今年2月，超过1060万个曾入住美高梅度假酒店的旅客的个人信息被发布至黑客论坛，泄露信息包括全名、家庭地址、电话号码和电子邮件。美高梅当时称，泄露的信息不包含客人的财务数据或账户密码。

万豪官方声明：Marriott International Notifies Guests of Property System Incident