2014年至2020年期间,连锁酒店万豪发生了一系列数据泄露事件,损害了全球3.44亿多名客户的利益,美国联邦贸易委员会(FTC)对万豪采取了严厉措施。
在周三宣布与该公司达成和解令的新闻稿中,该机构表示,万豪必须根据要求删除与客户账户相关的任何个人数据,并恢复因违规行为而失去的任何忠诚积分。此外,该连锁店将不得不大幅加强其安全性,以更好地保护客户免受未来的网络攻击。
万豪于2015年收购喜达屋,成为全球最大的酒店公司。但这些年来,这家连锁店一直存在问题,至少在网络安全方面是这样。
在诉状中,FTC指控该公司在至少三起独立的数据泄露事件中未能保护好客户数据。因此,黑客能够窃取诸如支付卡号码、忠诚号码、护照数据、出生日期和电子邮件地址等用户信息。
联邦贸易委员会表示,具体来说,万豪和喜达屋未能设置适当的密码控制、访问控制、防火墙控制或网络分割。该链还忽略了修补过时的软件和系统,监控网络环境,以及实施有效的多因素认证。联邦贸易委员会补充说,该公司声称拥有合理和适当的安全措施,从而欺骗了客户。
从2014年6月开始,第一次数据泄露影响了4万多名喜达屋客户,并在14个月内未被发现。从2014年7月开始,第二次入侵导致3.39亿喜达屋客人账户记录和525万个未加密的护照号码被盗,直到2018年9月才被发现。
从2018年9月开始,第三次入侵影响了超过520万份客人记录,包括姓名、邮寄地址、电子邮件、地址、电话号码和忠诚卡信息。直到2020年2月才被发现。
由于这些违规行为,该连锁店面临着一系列诉讼和罚款。在周三宣布的与50个州总检察长达成的另一项和解协议中,万豪将不得不支付5200万美元的罚款。这一事件源于其喜达屋客人账户数据库遭到入侵。有了这一和解协议和与联邦贸易委员会的和解协议,该公司的工作已经被切断了。
对于万豪的客户来说,FTC的和解意味着以下几点:
你可以要求公司审核你的Bo为未经授权的或可疑的活动登记。如果因此导致任何忠诚积分被盗,公司将被要求恢复这些积分。
您可以使用万豪网站或移动应用程序要求删除任何人员与您的电子邮件地址或Bo相关的所有数据Nvoy帐号。
现在,您可以在Bo上设置多因素身份验证Nvoy帐户,以更好地保护它。
公司的隐私政策必须清楚地解释为什么要收集和保留你的个人信息数据部分。
为了加强网络安全,万豪还必须解决以下问题:
该链必须建立一个全面的安全程序,包括多因素身份验证、加密和其他保护措施。
它将不得不与第三方对其信息安全项目进行审计合作。
它可以保存和储存人客户信息除非有业务需要。
公司可以使用它收集的信息只用于指定的目的。
它必须删除收集到的任何信息ng。
它不能使用任何本应出于营销原因而删除的数据。
由于与州检察长达成和解,万豪的任务甚至更多了。
作为其信息安全计划的一部分,公司必须建立零信任原则,定期向首席执行官报告安全,并对员工进行数据处理和安全培训。
为了更好地保护客户数据,万豪必须实施多项措施,包括组件加固、资产库存、加密、网络分段、补丁管理、入侵检测、用户访问控制以及网络内文件和用户的跟踪。
酒店连锁还必须加强对供应商和特许经营商的安全监督,特别注意对关键IT供应商和云提供商的风险评估。如果万豪未来收购了另一家公司,它必须分析该公司的安全性,并制定计划,以确定和纠正其计划中的任何差距或弱点。
最后,万豪必须每两年向独立第三方提交一次对其信息安全计划的审查,最长可达20年。
Keeper security首席执行官兼联合创始人达伦?古奇奥尼在接受ZDNET采访时表示:“最近对万豪的和解提醒我们,企业及其安全负责人在数据安全方面面临的责任越来越大。”
Guccione补充说:“全面信息安全计划的实施为其他公司树立了一个标杆,这是联邦贸易委员会发出的一个明确信息,即在保护客户数据方面的疏忽可能会导致巨额罚款和持久的声誉损害。”“企业领导人现在意识到,他们必须比以往任何时候都更加重视网络安全。对于消费者来说,要求删除数据的权利和对忠诚账户的保护得到改善,让他们确信自己的隐私得到了认真对待。”
