前情回顾·全球网络安全执法
安全内参10月11日消息,由于2014年至2020年期间发生的多起重大数据泄露事件,影响了全球超过3.44亿人,10月9日,万豪同意支付5200万美元(约合人民币3.67亿元)罚款,并制定一项全面的信息安全计划。
达成用户赔偿和安全改进的和解协议
这是当日宣布的两项和解协议之一。第一项是万豪与美国49个州总检察长及华盛顿特区组成的联盟之间达成的和解协议。这一联盟在网络入侵者窃取了包括部分财务信息在内的敏感客户信息后发起调查。该笔5200万美元赔偿将分配给所有50位联盟成员。
第二项是万豪与美国联邦贸易委员会(FTC)达成的和解协议,要求万豪国际及其子公司喜达屋酒店及度假酒店国际集团(下称“喜达屋”)在未来20年内实施更严格的网络安全措施,并向FTC证明其合规情况。此外,万豪还需为客户提供便捷的方式,允许他们请求删除酒店已收集的个人信息。
正如惯例,依据酒店官网和两项协议声明,万豪在同意和解的同时,并未承认任何与相关指控有关的责任。
声明还指出:“作为与FTC和州总检察长达成解决方案的一部分,万豪将继续强化其数据隐私和信息安全计划,许多措施已经在实施或正在推进中。”
声明补充道:“例如,万豪为美国客户提供了请求删除个人信息的流程,并为万豪旅享家(Marriott Bonvoy)会员开设了在线门户,允许他们报告可能存在的可疑账号活动。此外,万豪还为旅享家账号引入了多因素身份验证功能。”
万豪数年内发生多起重大数据泄露事件
这两项调查的源头是2014年至2020年间发生的一系列网络入侵事件,这些事件涉及管理着全球超过7000家酒店万豪以及其在2016年收购的喜达屋集团。
根据FTC起诉书,首次数据泄露事件涉及超过4万名喜达屋客户的支付卡信息。
在万豪宣布收购喜达屋的四天后,喜达屋通知客户,数据窃贼自2014年6月起在其网络中潜伏了14个月,期间窃取了客户姓名和卡号,直到系统将其驱逐。
第二次数据泄露始于2014年7月,并持续了四年多,直到2018年9月才被发现。此次入侵涉及超过3.39亿条喜达屋客户记录的泄露,其中包括525万份未加密的护照号码。
第三次数据泄露发生于2018年9月,影响了万豪网络,且耗时近两年,直到2020年2月才被察觉。入侵者在此期间窃取了180万美国人的姓名、实际地址和电子邮件地址、电话号码、出生月份和日期,以及忠诚会员账号信息。
万豪内部安全控制极为薄弱,将实施改进计划
起诉书指出,所有这些数据泄露事件的发生源于万豪和喜达屋极为薄弱的安全措施,包括不当的密码管理和访问控制、缺乏有效的网络分段和软件补丁程序,以及多因素身份验证未普及,日志和网络监控也十分不足。
为了了结这些指控,万豪同意向前述美国各州和首都华盛顿支付5200万美元赔偿。但是,该公司一如既往地否认有任何过失。为便于理解这一金额大小,万豪这一全球酒店巨头在2023年的收入约为237.1亿美元,因此5200万美元对它来说几乎无关痛痒。
此外,万豪还同意实施一系列措施,旨在提高其数据安全性,并尽可能减少客户信息的收集。这些措施包括仅保留为实现特定信息收集目的所必需的个人信息。
根据协议,万豪还需提供一个链接,供客户请求删除与其电子邮件或忠诚奖励计划账号相关的任何个人信息。
此外,万豪和喜达屋还必须根据协议建立一个信息安全计划,每两年由独立的第三方评估,该计划包括多因素身份验证、网络分段和数据加密等措施。
最后,两家公司还需为消费者提供一种方式,允许他们审查其万豪旅享家忠诚会员账号中的任何未经授权的活动。万豪还承诺恢复任何被网络犯罪分子盗取的忠诚会员积分。
参考资料:https://www.theregister.com/2024/10/09/marriott_settlements_data_breaches/
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。