萬豪旗下喜達屋酒店5億客人開房信息或泄露

11月30日，萬豪國際酒店集團發布聲明，旗下喜達屋酒店預訂數據庫中約5億客人信息或泄露。萬豪國際方面，表示已向執法部門報告并已通知監管機構。

客人信息詳細，包含姓名、電話號碼、支付卡號等

30日晚，隱私護衛隊打開喜達屋酒店官網發現，頁面最上方的內容是“更多有關喜達屋客人預訂數據庫安全事件的信息，請點擊這里”。

喜達屋酒店官網首頁

點擊鏈接之后，用戶可看到萬豪國際就“喜達屋客人預訂數據庫安全事件”發布的聲明、以及關于該事件的詳細情況。

萬豪國際在聲明中表示，2018年9月8日，收到內部安全工具發出的關于試圖訪問喜達屋客人預訂數據庫的警報，在聘請專家確定情況后發現，自2014年起即存在第三方未經授權對喜達屋網絡的訪問。而在最近，萬豪國際發現第三方已復制并加密某些信息，并試圖采取措施將該信息移出。11月19日，萬豪解密該信息并確定信息來自喜達屋客人預訂數據庫。

萬豪在微博發布的聲明。

據萬豪國際方面介紹，該數據庫包含2018年9月10日或之前在喜達屋酒店預訂的約5億人的信息，其中3.27億人的信息涉及姓名、郵寄地址、電話號碼、電子郵件地址、護照號碼、出生日期、性別、入住與退房時間、預訂日期和通信偏好等信息。

值得注意的是，還有部分客戶泄露的信息包括支付卡號和支付卡有效期。雖然支付卡號已經過高級加密處理，且需要兩項密鑰解鎖，但萬豪國際方面暫時無法排除是否有第三方已經掌握了這兩項密鑰。

萬豪國際集團首席執行官Arne Sorenson稱，萬豪對此事表示深深的歉意，正在采取積極措施幫助受影響的客人，將從實踐中吸取教訓，不斷改進。

會員要求酒店交代：如何保護用戶隱私

30日晚，在看到新聞客戶端彈窗萬豪國際旗下酒店數據外泄的消息，北京眾安天下科技有限公司創始人楊蔚稱，“內心有些壓抑。”作為一名資深的信息安全研究者，他平時很注重保護自己的個人信息，但因為這次事件，他在這家酒店留下的詳細個人記錄都被泄露了。

“這是一件很難過和遺憾的事情，當一名安全從業者知道自己的信息泄露，”楊蔚告訴隱私護衛隊，“這里面涉及一個關鍵的問題，酒店數據的一次泄露可能給用戶帶來長久且不可逆的影響。你的姓名、身份證號已無法更換，手機號碼和住宿行為這樣的私密信息也被人知道了。”

在楊蔚看來，雖然酒店對外發布聲明介紹安全事件的態度很好，但作為用戶，他接下來更想知道萬豪酒店將如何保障用戶的隱私，以及如何加強酒店的安全系統。

基于從業經驗，楊蔚稱就目前萬豪國際披露的有限信息來看，尚無法判斷數據外泄的原因，黑客究竟是基于酒店系統的哪個漏洞，采取怎樣的攻擊手段，但既然系統出現第三方未經授權訪問，則說明黑客在某個環節擁有了不該擁有的權限。

據隱私護衛隊了解，今年8月，華住集團也曾發生數據安全事件，旗下酒店約1.3億人入住時登記的身份信息和2.4億條酒店開房記錄被曝在暗網上售賣。

為何酒店會頻頻被黑客盯上？楊蔚認為，像萬豪國際這樣知名的全球酒店，它們所掌握的用戶數據量大，而且客戶中有很多是高端消費群體。對黑客來說，這些涉及全球高端人群的數據很有價值，他們一旦成功入侵酒店系統，對所接觸到的數據進行加密勒索，收益可觀。