全球最大的连锁酒店集团万豪(Marriott)国际11月30日公布万豪国际酒店集团旗下的喜达屋(Starwood)酒店及度假村集团订房数据库遭黑客入侵,多达5亿个于2018年9月10日以前入住的客人的资料可能外泄。万豪国际在声明中指出,内部调查显示黑客自2014年开始入侵订房系统,已向执法单位报案。
从数量上看,喜达屋酒店遭受的黑客攻击是自雅虎宣布大约30亿用户的信息被黑客窃取以来规模最大的一次,集团或面对巨额罚款,其股价在周五美国开市后大跌约5%。
万豪酒店所受攻击仅次于雅虎
万豪股价大跌
万豪称,公司于今年9月8日被告知系统被试图闯入,随即指示网络保安专家调查情况,结果发现早在2014年——即其收购喜达屋前两年——已经开始频遭入侵,有黑客复制和加密资料库的信息。万豪于当月19日才解密部分信息,发现内容来自喜达屋的订房资料库。
万豪称尚未完成解密,但复制资料涉及最多5亿名曾订房的客户,其中3.27亿客户数据包括护照号码、电邮、通讯地址;优先客户更包括出生日期、性别及订房日子时间等。而信用卡资料虽已加密,但仍不排除外泄可能。万豪已开始逐一发电邮通知相关客户,同时称会向客户提供网上帐户监管软件Web Watcher一年的免费使用权。
万豪总裁兼首席执行长苏安励(Arne Sorenson)透过新闻稿表示:“我们对此事件表示深深的歉意,我们未能确保全球宾客应该享有的服务,也未能达到对自己的要求。我们正在积极采取行动,不遗余力地帮助受影响的宾客。我们将汲取事件中的教训,未来不断改进。”
万豪酒店声明
万豪国际表示正尝试删除涉案系统中的顾客资料,承诺即日起以电邮通知受影响用户,并设立网站及电话热线以供查询,部分地区的客人可一年免费使用“欺诈检测服务”系统。
喜达屋酒店于2016年被万豪收购,集团旗下有多个国际知名的酒店品牌,包括W酒店、喜来登酒店、艾美酒店及福朋喜来登酒店,这些饭店共用订房系统。万豪酒店则有独立订房系统,不受事件影响。
去年以来,酒店集团开始成为黑客攻击的目标,洲际酒店和凯悦酒店都曾是黑客攻击的受害者。此外,今年8月,华住酒店集团约5亿条用户数据被曝在暗网售卖,内容涉及大量个人入住酒店信息,主要为姓名、身份证信息、手机号、卡号等,约5亿条公民信息,被叫卖35万元。11月初,丽笙酒店也发布公告,称至少有10%的丽笙奖励计划会员信息被泄露。
万豪国际于2016年以136亿美元收购喜达屋,即该数据泄露事件发生在万豪收购喜达屋之前。有报道指出,随着企业间收购的日益增多,企业越来越明白,在交易过程中需要进行强有力的尽职调查。
Verizon收购雅虎公司就是一个例子,雅虎披露了与Verizon合并的计划中出现的大规模数据泄露,导致收购价下降3.5亿美元。
万豪和喜达屋的合并交易是在雅虎遭黑客攻击的消息被披露之前签署的,其中没有明确的网络安全条款。自从Verizon根据雅虎的数据泄露事件重新谈判收购雅虎的交易以来,更多的并购方都加入了安全条款,收购方现在在交易结束前对目标进行更广泛的系统评估。
喜达屋经营的酒店子品牌有:
W Hotels (W 酒店)
St. Regis(瑞吉酒店)
Sheraton Hotels & Resorts(喜来登酒店)
Westin Hotels & Resorts(威斯汀酒店)
Element Hotels(爱丽曼酒店)
Aloft Hotels(雅乐轩酒店)
The Luxury Collection(豪华精选酒店)
Tribute Portfolio(臻品之选酒店)
Le Méridien Hotels & Resort(艾美酒店)
Four Points by Sheraton(福朋酒店)
Design Hotels(Design酒店)
最后提醒一件事,如果您是喜达屋的会员,请大家务必立马改掉自己重要帐号的密码,比如,支付宝、淘宝、QQ、网银、网盘……只要是你认为重要账号的密码,请尽快修改。否则很有可能遭遇“撞库”。撞库就是黑客获得这批数据后,可以拿其中的用户名、密码,去批量尝试登陆支付宝、淘宝、QQ、网银、网盘等等黑客感兴趣的网站,如果你当初注册两个网站的用户名、密码相同,就会中招。