SSL信息全球最大的连锁酒店万豪国际集团今天披露,不知名的黑客入侵其子公司喜达屋酒店的客人预订数据库,并带走了大约5亿客人的个人信息。
喜达屋酒店及度假村集团于2016年被万豪国际以130亿美元收购。该品牌包括瑞吉酒店,喜来登酒店及度假村,W酒店,威斯汀酒店及度假村,雅乐轩酒店,Tribute Portfolio,Element Hotels,艾美酒店及度假村 ,豪华精选,福朋喜来登酒店及设计酒店。
该事件被认为是历史上最大的数据泄露事件之一,仅次于2016年雅虎黑客攻击,其中近30亿用户帐户被盗。
自2014年“未经授权的一方”设法未经授权访问喜达屋的客人预订数据库以及复制和加密信息后,自2014年以来,喜达屋物业遭到破坏。
万豪在收到内部安全工具发出的关于试图访问美国喜达屋客串预订数据库的警告后,于今年9月8日发现了该漏洞。
11月19日,对事件的调查显示,未经授权访问数据库,其中包含“2018年9月10日或之前有关喜达屋酒店预订的客人信息”。
被盗酒店数据库包含近3.27亿客人的敏感个人信息,包括姓名,邮寄地址,电话号码,电子邮件地址,护照号码,出生日期,性别,抵达和离开信息,预订日期和通信偏好。
什么令人更担忧?对于某些用户,被盗数据还包括支付卡号和支付卡到期日。
但据万豪称,“支付卡号码是使用高级加密标准加密(AES-128)加密的。”攻击者需要两个组件来解密支付卡号码,“此时,万豪还未能排除两者的可能性。”
该公司在一份声明中说:“该公司尚未完成在数据库中识别重复信息,但认为它包含了在喜达屋酒店预订的多达约5亿客人的信息。”万豪证实,对此事件的调查仅发现未经授权访问单独的喜达屋网络,而非万豪网络。它还开始向可能受影响的客户通报安全事件。
该酒店公司已经开始通知监管当局,并告知执法部门,并继续支持他们的调查。
由于数据泄露属于欧盟通用数据保护条例(GDPR)规定,如果发现违反这些规则的话,万豪可能会面临1700万英镑的最高罚款,即每年全球收入的4%。