万豪酒店宣称数据库被入侵，5亿用户私密信息或外泄

大数据文摘出品

作者：魏子敏、蒋宝尚

万豪国际集团官方微博发布声明称，旗下喜达屋酒店的一个客房预订数据库被黑客入侵，五亿用户信息或已经外泄。这可能会成为仅次于去年雅虎30亿用户信息泄露后，历史上第二大公司用户泄露事件。

从万豪酒店向美国监管机构提交的声明中我们得知，在9月10日或之前，就已经检测到有未经许可就访问数据库的行为，具体来说，泄露行为可以追溯到2014年。

未经授权的第三方己复制并加密了某些信息，并采取措施试图将该等信息移出。2018年11月19日，万豪国际成功解密信息，并确定信息的内容来自喜达屋宾客预订数据库。

除此之外，并没有透露更具体的黑客行为细节。但网络安全专家表示，2016年收购喜达屋可能会让黑客悄然留在喜达屋的数据库中。

之后，万豪国际美股盘前跌逾5%。

这一被“黑”的数据库中包含5亿多客户的信息，其中3.27亿用户的信息包括姓名、邮寄地址、电话号码、电子邮件地址、护照号码、SPG俱乐部账户信息、出生日期、性别、到达与离开信息、预订日期和通信偏好。一部分客户的信息还包括支付卡号和支付卡有效期，但支付卡号已通过高级加密标准（AES-128）加密。解密支付卡号码需要解锁两项密钥，目前万豪国际无法排除该第三方是否已经掌握这两项密钥。

事件发生后，科技记者Chris Fox评论道，尽管这不是最大的数据泄露事件，但这次的情况也非常糟糕。即使支付卡信息已加密，该公司也认为该密钥可能被盗。英国的数据监管机构正在调查这一泄漏事件，因此GDPR惩罚是跑不了了。尽管万豪集团的总部位于美国，但在与欧盟公民打交道时，它必须遵守欧盟的GDPR规则。

一些网友评论，万豪主动披露自己数据泄露的行为非常值得认可，但是ICO和其他国际监管机构仍然可能会裁定该公司采取行动速度太慢。

万豪为受影响的用户建立了一个专门的帮助网站，并且有提供的求助热线。

网站网址：

https://answers.kroll.com/

文摘菌在此也提醒大家，连锁酒店表示不会发送任何带附件的通知邮件，也不会通过电子邮件向客户索取任何信息，因此遇到以上情况请谨慎对待。

2016年，万豪以136亿美元的报价成功收购喜达屋集团，合并后，万豪成为全球最大酒店集团，旗下共拥有30个酒店品牌和5500家酒店。业务范围横跨全球100多个国家和地区，目前市值高达397亿美元。

具体来说，喜达屋旗下品牌包括：W酒店（WHotels）、瑞吉酒店（St.Regis）、喜来登酒店与度假村（Sheraton Hotels&Resorts）、威斯汀酒店与度假村（Westin Hotels&Resorts）、源宿酒店（Element Hotels）、雅乐轩酒店（Aloft Hotels）、豪华精选酒店（The Luxury Collection）、臻品之选酒店（Tribute Portfolio）、艾美酒店与度假村（Le Meridien Hotels&Resorts）、福朋喜来登酒店（Four Points by Sheraton）及设计酒店（DesignHotels）。喜达屋分时度假酒店亦包括其中。

万豪国际集团是世界上著名的酒店管理公司和入选财富全球500强名录的企业。创建于1927年，总部位于美国华盛顿。其于1997年进入中国酒店业市场，并于此后快速发展。

其旗下品牌包括：J.W万豪（JW Marriott Hotels & Resorts），万丽（Renaissance Hotels & Resorts），万怡（Courtyard），万豪居家（Residence Inn），万豪费尔菲得（Fairfield Inn），万豪唐普雷斯（TownePlace Suites），万豪春丘（SpringHill Suites），万豪度假俱乐部（Marriott Vacation Club），\t丽思\t卡尔顿（Ritz-Carlton）等等

2018年1月初，万豪国际集团曾因为有奖调查活动的信息填报页面，“国家”的列表里，出现香港、澳门、台湾以及西藏的选项，违反《中华人民共和国网络安全法》和《中华人民共和国广告法》相关规定。上海市网信办相关负责人责令其官方中文网站、中文版APP自行关闭一周。

最后，附上万豪国际集团的官方声明：