萬(wàn)豪國(guó)際酒店集團(tuán)已同意支付5200萬(wàn)美元作為和解協(xié)議的一部分，該數(shù)據(jù)泄露事件暴露了全球超過(guò)3.44億名客戶(hù)的信息。目前，萬(wàn)豪在美國(guó)各地以及130多個(gè)其他國(guó)家/地區(qū)管理著7000多家酒店。

這家總部位于馬里蘭州貝塞斯達(dá)的酒店公司還同意加強(qiáng)其數(shù)據(jù)安全，并解決2014年至2020年間導(dǎo)致三次重大泄露的問(wèn)題，根據(jù)聯(lián)邦貿(mào)易委員會(huì)（FTC）的說(shuō)法。監(jiān)管機(jī)構(gòu)表示，萬(wàn)豪國(guó)際及其子公司喜達(dá)屋酒店及度假村將不得不實(shí)施“一個(gè)健全的信息安全計(jì)劃以解決指控”。

在并行調(diào)查后，F(xiàn)TC和49個(gè)州以及哥倫比亞特區(qū)的總檢察長(zhǎng)分別宣布了與萬(wàn)豪的和解協(xié)議條款。根據(jù)FTC消費(fèi)者保護(hù)局局長(zhǎng)塞繆爾·萊文的說(shuō)法，這些協(xié)議將確保萬(wàn)豪在全球范圍內(nèi)改善其酒店的數(shù)據(jù)安全實(shí)踐。

萊文說(shuō)：“萬(wàn)豪糟糕的安全實(shí)踐導(dǎo)致了多次泄露，影響了數(shù)億客戶(hù)?！痹谄渚W(wǎng)站上發(fā)布的一份聲明中，萬(wàn)豪表示，作為和解的一部分，它對(duì)“潛在指控”沒(méi)有承認(rèn)責(zé)任。它還表示，已經(jīng)加強(qiáng)了其數(shù)據(jù)隱私和信息安全實(shí)踐，并將繼續(xù)做得更多。

協(xié)議的條款是什么？

作為與FTC的和解協(xié)議的一部分，萬(wàn)豪被命令采取措施更好地保護(hù)客戶(hù)的個(gè)人信息，并讓客戶(hù)對(duì)他們的數(shù)據(jù)有更多的控制權(quán)。

萬(wàn)豪同意為美國(guó)的所有客戶(hù)提供一種方式，要求刪除與其電子郵件地址或忠誠(chéng)度獎(jiǎng)勵(lì)賬戶(hù)號(hào)碼相關(guān)的個(gè)人信息。此外，和解要求萬(wàn)豪在客戶(hù)請(qǐng)求時(shí)審查忠誠(chéng)度獎(jiǎng)勵(lì)賬戶(hù)，并恢復(fù)被盜的忠誠(chéng)度積分。

它還被要求實(shí)施一個(gè)“全面”的信息安全計(jì)劃，包括多因素認(rèn)證、加密和其他保障措施。此外，公司同意配合對(duì)其信息安全計(jì)劃的第三方審計(jì)。萬(wàn)豪還被告知，只有在業(yè)務(wù)需要時(shí)才收集和保留個(gè)人信息，并在不再需要時(shí)刪除收集的數(shù)據(jù)。在與各州的單獨(dú)和解中，萬(wàn)豪還同意支付5200萬(wàn)美元的罰款，并解決與FTC協(xié)議中概述的類(lèi)似的數(shù)據(jù)安全指控。

這些指控是什么？

根據(jù)FTC的說(shuō)法，萬(wàn)豪和喜達(dá)屋“欺騙”了消費(fèi)者，聲稱(chēng)他們擁有適當(dāng)?shù)臄?shù)據(jù)安全，而實(shí)際上并非如此。

具體來(lái)說(shuō)，投訴聲稱(chēng)萬(wàn)豪和喜達(dá)屋未能實(shí)施適當(dāng)?shù)拿艽a、訪問(wèn)和防火墻控制或網(wǎng)絡(luò)分段，修補(bǔ)過(guò)時(shí)的軟件和系統(tǒng)，或充分記錄和監(jiān)控網(wǎng)絡(luò)環(huán)境。

FTC表示，也沒(méi)有部署多因素認(rèn)證。結(jié)果，“惡意行為者”通過(guò)至少三次單獨(dú)的數(shù)據(jù)泄露獲得了個(gè)人信息，包括護(hù)照信息、支付卡號(hào)碼、忠誠(chéng)度號(hào)碼、出生日期、電子郵件地址和個(gè)人信息。

根據(jù)FTC的說(shuō)法，第一次泄露始于2014年6月，影響了喜達(dá)屋，并在酒店通知客戶(hù)之前未被檢測(cè)到14個(gè)月。投訴指出，這次泄露暴露了超過(guò)4萬(wàn)名客戶(hù)的支付卡信息。盡管萬(wàn)豪在2016年收購(gòu)了喜達(dá)屋，但它對(duì)兩個(gè)品牌的數(shù)據(jù)安全實(shí)踐負(fù)有責(zé)任。

第二次泄露始于2014年7月左右，直到2018年9月才被檢測(cè)到。在此期間，不良行為者訪問(wèn)了全球3.39億喜達(dá)屋客戶(hù)賬戶(hù)記錄，包括超過(guò)500萬(wàn)個(gè)未加密的護(hù)照號(hào)碼。

第三次泄露影響了萬(wàn)豪自己的網(wǎng)絡(luò)，從2018年9月至2020年2月未被檢測(cè)到。FTC表示，惡意行為者在那段時(shí)間內(nèi)訪問(wèn)了520萬(wàn)客戶(hù)記錄，包括180萬(wàn)美國(guó)人的數(shù)據(jù)。

參考來(lái)源：https://cybernews.com/news/marriott-settles-data-breach/