近日，万豪国际酒店集团（Marriott International）及其子公司喜达屋（Starwood）就2014年至2020年期间发生的多起重大数据泄露事件，与由美国50个州及特区总检察长组成的联盟以及美国联邦贸易委员会（Federal Trade Commission，FTC）分别达成和解协议。万豪同意向各州及特区赔偿5200万美元（约合人民币3.67亿元），今后采用动态风险管理等方法全面加强其网络安全措施，保护客户数据安全。

这家总部位于马里兰州贝塞斯达的酒店公司还同意加强其数据安全，并解决2014年至2020年间导致三次重大泄露的问题，根据联邦贸易委员会（FTC）的说法。监管机构表示，万豪国际及其子公司喜达屋酒店及度假村将不得不实施“一个健全的信息安全计划以解决指控”。

在并行调查后，FTC和49个州以及哥伦比亚特区的总检察长分别宣布了与万豪的和解协议条款。根据FTC消费者保护局局长塞缪尔·莱文的说法，这些协议将确保万豪在全球范围内改善其酒店的数据安全实践。

莱文说：“万豪糟糕的安全实践导致了多次泄露，影响了数亿客户。”在其网站上发布的一份声明中，万豪表示，作为和解的一部分，它对“潜在指控”没有承认责任。它还表示，已经加强了其数据隐私和信息安全实践，并将继续做得更多。

被命令采取措施保护客户信息

作为与FTC的和解协议的一部分，万豪被命令采取措施更好地保护客户的个人信息，并让客户对他们的数据有更多的控制权。

万豪同意为美国的所有客户提供一种方式，要求删除与其电子邮件地址或忠诚度奖励账户号码相关的个人信息。此外，和解要求万豪在客户请求时审查忠诚度奖励账户，并恢复被盗的忠诚度积分。

它还被要求实施一个“全面”的信息安全计划，包括多因素认证、加密和其他保障措施。此外，公司同意配合对其信息安全计划的第三方审计。万豪还被告知，只有在业务需要时才收集和保留个人信息，并在不再需要时删除收集的数据。在与各州的单独和解中，万豪还同意支付5200万美元的罚款，并解决与FTC协议中概述的类似的数据安全指控。

这些指控是什么？

根据FTC的说法，万豪和喜达屋“欺骗”了消费者，声称他们拥有适当的数据安全，而实际上并非如此。

具体来说，投诉声称万豪和喜达屋未能实施适当的密码、访问和防火墙控制或网络分段，修补过时的软件和系统，或充分记录和监控网络环境。

FTC表示，也没有部署多因素认证。结果，“恶意行为者”通过至少三次单独的数据泄露获得了个人信息，包括护照信息、支付卡号码、忠诚度号码、出生日期、电子邮件地址和个人信息。

根据FTC的说法，第一次泄露始于2014年6月，影响了喜达屋，并在酒店通知客户之前未被检测到14个月。投诉指出，这次泄露暴露了超过4万名客户的支付卡信息。尽管万豪在2016年收购了喜达屋，但它对两个品牌的数据安全实践负有责任。

第二次泄露始于2014年7月左右，直到2018年9月才被检测到。在此期间，不良行为者访问了全球3.39亿喜达屋客户账户记录，包括超过500万个未加密的护照号码。

第三次泄露影响了万豪自己的网络，从2018年9月至2020年2月未被检测到。FTC表示，恶意行为者在那段时间内访问了520万客户记录，包括180万美国人的数据。

来源：南方都市报、酒馆财经、FreeBuf