万豪国际集团遭遇数据大规模泄露 涉及五亿客户信息

至顶网安全频道 12月01日 综合消息： 全球最大的连锁酒店万豪国际集团（Marriott International Inc.）遭遇大规模数据泄露事件，据信该次数据泄露事件影响到大约五亿客户。

万豪今天在一份提交 监管文件中披露了被入侵事件。万豪表示，黑客在2014年侵入属于旗下喜达屋（Starwood）子公司的客户数据库，喜达屋当时仍是一家独立公司，后来的四年里黑客逐渐取走记录。黑客可以访问截止今年9月10日为止的客户预订数据。

据信，泄露的信息包括许多个人身份信息。万豪在提交的监管文件里表示，在受影响的3.27亿客人里，这些个人身份信息包括姓名、邮寄地址、电话号码、电子邮件地址、护照号码、喜达屋优先顾客帐户信息、出生日期、性别、到达和出发信息、预订日期和通信偏好

受影响的客户亦有被泄露付款信息的，所占百分比未知。根据所提交的备案文件，这些信息包括卡号和有效期。喜达屋是以加密形式存储这些财务数据的，但万豪警告说，黑客可能窃取了读取加密数据所需的加密组件。

这次的入侵是自雅虎2013年被黑客入侵以来第二大记录在案的数据泄露事件，当时雅虎的所有30亿公司用户的资料失窃。喜达屋并非首次自爆大规模网络攻击事件。 2015年底，酒店运营商喜达屋披露旗下50个地点的收银机被销售点恶意软件感染。

网络安全提供商Webroot Inc.的高级解决方案架构师Matt Aldridge表示，攻击可能已经从喜达屋系统蔓延到Marriotts系统。他表示，“知道更多的细节后就会比较有意思，包括加密密钥是否也被窃，密钥可以解锁数百万喜达屋客户的支付卡。“

即便影响仅限于喜达屋网络，这次攻击也可能对万豪产生重大财务影响。泄漏不仅影响到超多的人，而且四年来未被发现及解决。 IBM公司估计，遏制大规模网络攻击所需的平均时间仅为一年。

另一个值得注意的因素是，泄露规模意味着来自欧盟的客户几乎肯定会受到影响。根据欧盟通用数据保护条例（GDPR），导致用户信息被窃的公司可能会面临高达公司全球年收入4％的罚款。

有Accel支持的安全创业公司RiskRecon Inc.的首席执行官Kelly White告诉记者，”诸如酒店业等新受监管行业要满足GDPR等标准所规定的保护要求仍有很长的路要走。“

他还补充表示，“根据我们的分析，酒店业在网络安全的关键领域显著落后于诸如银行和医疗保健的长期受监管行业。例如，酒店里面向互联网的系统存储和处理敏感的受监管信息，这些系统的关键软件漏洞率要比银行高400％。而与医疗保健相比，酒店的漏洞率则高出180％

万豪已经感受到了这次泄露事件的影响，万豪现在的股价下跌超过6％。