万豪酒店再曝大规模数据泄露，约520万住客个人信息遭窃取

就在昨天（3月31日），全球首屈一指的国际酒店管理公司万豪国际集团（Marriott International）通过其官方网站公布了一起新的数据泄露事件，受影响住客数量可能达到520万。 

万豪国际这一次又摊上了什么事？

“万豪旗下经营和特许经营的酒店使用的一款应用程序，旨在为酒店住客提供更好的服务。”万豪国际在昨天发布的一份新闻稿中写道，“但在2020年2月底，我们发现两名员工的账户访问了数量远超预期的住客信息。此外，我们相信这种行为在2020年1月中旬就已经开始了。”

根据万豪国际的说法，此次数据泄露事件可能涉及以下信息：

• 联系人详细信息（如姓名、邮寄地址、电子邮箱地址和电话号码）

• 会员帐户信息（如帐号和积分余额，但不包括密码）

• 其他个人详细信息（如就职公司、性别和生日日期和月份）

• 伙伴关系和隶属关系（如关联的航空公司忠诚度计划和人数）

• 偏好（如住宿/房间偏好和语言偏好）

据称，万豪国际目前已向所有可能受此次事件影响的住客发送了电子邮件，同时还开通了专线，以供住客获取更多的细节。

此外，和2018年一样，万豪国际此次依旧承诺会向受事件影响住客提供为期一年的免费注册个人信息监控服务。

2018年万豪国际数据泄露事件回顾

相比2018年，万豪国际此次公布的数据泄露事件显得是那么的“不值一提”。

因为，万豪国际在2018年所遭遇的数据泄露据称波及了近5亿住客！

无论是受害者的数量，还是波及的范围，都可以说是十分惊人。

2018年11月30日晚，万豪酒店集团在其官网以及微博等多个社交平台均发布了有关该集团旗下酒店喜达屋宾客预订数据库遭遇发动第三方未经授权访问的相关信息：

“2018年9月8日，万豪国际收到一条内部安全工具发出的关于第三方试图访问喜达屋宾客预订数据库的警报。万豪国际迅速聘请了权威安全专家帮助确定已发生的情况。万豪国际在调查过程中了解到，自2014年起，即存在第三方对喜达屋网络未经授权的访问。万豪国际最近发现未经授权的第三方已复制并加密了某些信息，并采取措施试图将该等信息移出。2018年11月19日，万豪国际成功解密该等信息，并确定信息的内容来自喜达屋宾客预订数据库。

目前，万豪国际尚未完成对数据库中重复信息的识别，但相信数据库中包含在2018年9月10日或之前曾在喜达屋酒店预订的最多约5亿名住客的信息。这些住客中约有3.27亿人的信息包括如下信息的组合：姓名、邮寄地址、电话号码、电子邮箱地址、护照号码、SPG俱乐部账户信息、出生日期、性别、到达与离开信息、预订日期和通信偏好。

对于某些住客而言，遭泄露信息还包括支付卡号和支付卡有效期，但支付卡号已通过高级加密标准（AES-128）加密。解密支付卡号码需要解锁两项密钥，目前万豪国际无法排除该第三方是否已经掌握这两项密钥。对于其他住客而言，信息仅限于姓名，但有时也包括如下数据：邮寄地址、电子邮箱地址或其他信息等。”

结语

一次数据泄露不够惊天动地，那么我们就来两次。

万豪国际再一次用惨痛的教训向全球的酒店集团，也可以说是各行各业提了个醒：在对待数据安全以及用户隐私保护等方面，我们应该有更为积极的态度，且十分有必要制定相关的预防措施并落实到位。

本文由 黑客视界 综合网络整理，图片源自网络；转载请注明“转自黑客视界”，并附上链接。

想了解相关安全技术，请搜索“墨者学院”，或直接访问“www.mozhe.cn”。