万豪再次报告数据泄露，520 万客户信息疑泄露

在不到两年的时间里，万豪遭遇了第二次重大的数据泄露，受影响的客人多达520万。万豪最近表示，黑客使用了加盟酒店两名员工的身份信息进行登陆，从而进入了万豪的酒店管理系统。

2018年11月30日，万豪称旗下喜达屋酒店的一个客房预订数据库被黑客入侵，在2018年9月10日或以前曾预订该酒店的最多约5亿名客人的信息或被泄露。据风险评估机构AIR Worldwide估算，当时的此次数据泄露，形成万豪的损失在2亿美圆至6亿美圆之间。

另外一方面，当时欧洲监管部门就数据泄露事件向万豪作出了1.23亿美圆的罚款决定。

万豪认为，最近的此次数据泄露始于1月中旬，一直持续到2月底，万豪才发现其中漏洞。

3月31日，万豪以电子邮件的形式通知了这次可能受影响的客户，而且创建了一个自助服务网站，为那些想要肯定本身是否受这次事件影响的客户提供帮助，并进一步提供泄露数据类别查询服务。

此外，在此次事件中可能会泄露信息的Marriott Bonvoy会员已禁用密码，并要求其在下次登陆时更改密码，并提示客户启用多因素身份验证。

据万豪称，对于每一个受影响的客户，泄露的信息可能包含如下几类：

联系人详细信息（例如，姓名、邮寄地址、电子邮件地址和电话号码）

会员账户信息（例如，账号和积分余额，但不包括密码）

其余我的详细信息（例如公司、性别、出生日期）

伙伴关系和从属关系（例如，关联的航空公司忠诚项目和人数）

偏好设置（例如，住宿/房间偏好设置和语言偏好设置）

这次数据泄露覆盖了520万名客人，泄露信息包括联系方式（通信地址、电子邮件和电话号码等）、忠诚度帐户信息、我的信息（性别、生日等）、关联的忠诚度项目和入住偏好等。每位用户只泄露了上述的部分信息而并不是全部。

万豪表示，尽管调查仍在进行，但客人的旅享家忠诚度帐户和支付卡的登陆密码、护照或驾照等信息没有被泄露。

因为万豪购买了网络安全保险，公司将结合这次数据泄露的规模影响等因素，与保险公司进行保险索赔。目前万豪估计，此次事件形成经济损失等不会太大。

安全解决方案提供商PerimeterX的安全专员Ameet Naik表示，旅游企业当前忙于应对新冠疫情的影响，但同时也需对网络安全保持警戒。

Naik 称，“过去一个月内，旅游和酒店网站的帐号劫持数量显著增加，在全部登陆尝试中的占比高达80%。虽然旅客待在家中，但黑客仍在四处活动。”

“帐号劫持是企业面临的主要威胁。比起寻找企业网络安全防护系统的漏洞，盗窃有效凭证从前端直接登陆更加简单且更为有利可图。”

“黑客会利用自动机器人对大量的被盗凭证进行登录尝试，最终找到一个有效的用户名和密码，利用该身份购买产品进行转售，耗尽忠诚度积分或窃取我的信息。而被窃取的数据不可避免地会流入暗网，加重帐号劫持的循环性破坏。” Naik说道。

万豪已向受这次数据泄露影响的客人发送了通知邮件，并创建了专门网站以提供更多信息。

今年2月，超过1060万个曾入住美高梅度假酒店的旅客的我的信息被发布至黑客论坛，泄露信息包括全名、家庭地址、电话号码和电子邮件。美高梅当时称，泄露的信息不包含客人的财务数据或帐户密码。

万豪官方声明：Marriott International Notifies Guests of Property System Incident