万豪数据泄露常见问题解答：到底发生了什么？

数据泄露是每家酒店最糟糕的噩梦 - 特别是当个人数据和客人信息泄露时。在 COVID-19 之前，酒店经营者将网络安全和数据保护视为该行业面临的最大威胁之一。酒店业不断受到威胁；对酒店的多次引人注目的恶意软件攻击已导致数亿客人的数据遭到泄露，并造成数百万美元的损失。

举个例子：万豪。由于 2014 年发生的数据泄露事件，这家连锁酒店最近被罚款约2380 万美元。而且，财务负担只是万豪困境的开始。这次攻击泄露了存储在该品牌全球宾客预订数据库中的 3 亿多宾客的信用卡详细信息、护照号码和生日。这是有史以来最大的数据泄露事件之一。

虽然保险将承担万豪的大部分财务影响，但其品牌声誉将在未来受到很大影响。以下是万豪数据泄露事件的发生过程——以及如何防止此类事件发生在您的酒店。

Background: Marriott Data Breach 2014

该漏洞发生在 2014 年的某个时候，但直到 2018 年才被发现，当时一个内部安全工具发现了一次可疑的访问万豪喜达屋品牌内部宾客预订数据库的尝试。喜达屋酒店于 2016 年被万豪收购，在万豪国际原有的 19 项资产基础上新增 11 个品牌。

内部安全警报促使一项调查发现喜达屋网络在 2014 年收购之前遭到破坏。喜达屋在 2018 年没有迁移万豪的预订系统；喜达屋品牌仍在使用遗留 IT 基础设施，这加剧了数据泄露的范围和规模。

在内部调查中，万豪发现黑客对数据进行了加密并将其从喜达屋系统中删除。该信息包括来自多达5 亿条客人记录的信息——尽管其中一些记录是重复的。当他们宣布违规时，万豪表示黑客窃取了客人信息，包括“姓名、邮寄地址、电话号码、电子邮件地址、护照号码、喜达屋优先顾客（“SPG”）帐户信息、出生日期、性别、到达时间以及出发信息、预订日期和通信偏好。其中一些客人的支付卡数据也被盗，但万豪没有透露具体人数。”

How Did the Marriott Data Breach Happen?

攻击的实际细节非常技术性，但喜达屋的一些商业和文化实践证明了坏人访问那么多客人记录是多么容易。

Crowdstrike网络安全专家 Ryan Cornateanu告诉 Hotel Tech Report ，“对万豪的攻击很不幸，对手的一个流行切入点是通过电子邮件欺骗。这种策略用于网络钓鱼，目的是让恶意软件进入目标网络，然后在所有系统中横向移动。黑客可以从那里利用来自忠诚度计划和预订系统的帐号、驾照号码和其他敏感信息。一般的数据保护法规在保护消费者方面已经走了很长一段路，但当黑客能够保护登录凭据或直接访问服务器时，能做的只有这么多。”

喜达屋因预订系统不安全而臭名昭著； 2015 年的一次单独攻击破坏了数据，八个月都没有被发现。万豪随后在 2016 年的收购期间解雇了喜达屋的 IT 员工，使问题更加复杂。人员短缺阻碍了万豪迅速将新增的酒店物业整合到自己的内部预订系统中。因此，喜达屋本已不安全的宾客预订系统“一瘸一拐，像僵尸一样，感染了恶意软件，被黑客攻破，而且在漏洞最终被发现之前又持续了两年，没有太多的连续性维护，” CSO报告说在线。

至于谁入侵了万豪的问题，答案就更复杂了。《纽约时报》和《华盛顿邮报》都报道说，这次袭击是国家资助的代表中国政府的情报收集工作的一部分。代码中的模式以及攻击方法与中国黑客之前使用的技术相呼应，没有任何客人记录最终在暗网上出售——这表明这不是以盈利为目的的黑客行为。

每周一次将最新的酒店技术提示、趋势和见解发送到您的收件箱

加入来自世界领先酒店品牌的 10 万多名高管，每周一次将最新见解发送到您的收件箱

The Repercussions for Marriott

在财务上，万豪因此次数据泄露而面临重大处罚。针对万豪未能对喜达屋的 IT 系统进行尽职调查的品牌提起了多起集体诉讼。除了诉讼之外，万豪还同意为数据泄露的受害者支付更换护照的费用。

另外，消费者权益监管机构英国信息专员办公室(ICO) 因未能达到GDPR要求的安全标准而对万豪处以2380 万美元的罚款（低于最初的 1.23 亿美元）。 ICO 辩称万豪在处理数据时未能“采取适当的技术或组织措施”，尽管它也承认万豪此后已采取适当的措施来提高安全性。值得注意的是，最初的 1.23 亿美元罚款本来是 GDPR 规定的最大罚款之一，约占万豪总收入的 3% 。

诚然，在财务上，万豪很可能会在这次数据泄露事件中幸存下来。然而，客户满意度得分在 2019 年有所下降，使该品牌与希尔顿持平，并表明违规可能会对客人忠诚度造成更长期的伤害。研究表明，将近四分之一的美国人将停止与遭到黑客攻击的公司开展业务，而超过三分之二的人在数据泄露后对公司的信任度降低。

How to Avoid a Similar Data Breach

归根结底，独立品牌比品牌安全得多，因为它们对黑客的吸引力较小。更少的战利品意味着更少的激励。此外，独立人士通常与一流的技术供应商合作，而不是尝试在内部开发系统。这些供应商得到了风险投资的支持，并采取了很多措施来确保数据安全。酒店经营者应寻找符合现代监管框架（如SOC-2 、GDPR、 PSD2 和 PCI合规性）严格标准的软件供应商。

但是，即使在独立人士中，酒店业仍然是黑客的一个有吸引力的目标。酒店收集了大量的个人身份信息，保护这些宝贵数据的安全协议通常已经过时或很少。您的酒店将来可能成为网络攻击的目标并非毫无疑问：但是，至关重要的是要避免重蹈万豪酒店四年未能发现漏洞的覆辙。

任何酒店的 IT 团队的首要任务应该是加密客人数据并设置警报，以便在出现潜在的安全漏洞时立即发出警告。遗留 IT 必须更新；确保所有设备上都安装了最新版本的软件。安全更新通常包含随威胁形势发展的补丁和新修复程序。并且，制定一个计划，在您感觉到存在违规行为时立即与客户沟通。问题不应该是“是否”会发生网络攻击，而是什么时候发生。

Jordan Hollander

CEO 领英个人资料

Jordan is the co-founder of HotelTechReport, the hotel industry's app store where millions of professionals discover tech tools to transform their businesses. He was previously on the Global Partnerships team at Starwood Hotels & Resorts. Prior to his work with SPG, Jordan was Director of Business Development at MWT Hospitality and an equity analyst at Wells Capital Management. Jordan received his MBA from Northwestern’s Kellogg School of Management where he was a Zell Global Entrepreneurship Scholar and a Pritzker Group Venture Fellow.