近日,万豪国际酒店集团因重大数据泄露事件,已同意支付3.6亿元作为和解协议的一部分。此次泄露涉及全球超过3.44亿名客户的信息。
万豪总部位于马里兰州贝塞斯达,目前在全球管理着7000多家酒店,覆盖美国及130多个国家和地区。根据联邦贸易委员会(FTC)的调查,万豪在2014年至2020年期间经历了三次重大数据泄露事件,客户的个人信息,包括护照信息、支付卡号码和电子邮件地址等均被恶意行为者获取。
FTC要求万豪国际集团及其子公司喜达屋酒店及度假村国际集团实施强有力的信息安全计划,以解决对其数据保护措施的指控。
作为和解的一部分,万豪承诺采取一系列措施以提高客户个人信息的保护水平,并赋予客户更多控制权。主要条款包括:信息删除权:万豪将为所有美国客户提供请求删除其与电子邮件地址或忠诚度奖励账户相关的个人信息的渠道。
忠诚度账户审查:客户可请求审查其忠诚度账户,并恢复被盗的积分。
安全计划实施:万豪需建立一个全面的信息安全计划,包括多因素认证、加密技术和其他安全措施。
数据管理:公司被告知仅在业务需要时收集和保留个人信息,并在不再需要时删除相关数据。
第三方审计:万豪同意接受对其信息安全计划的第三方审计。
此外,万豪还需向各州支付5200万美元的罚款,以解决与FTC协议中类似的数据安全指控。FTC的调查显示,万豪和喜达屋在数据安全方面的失职给消费者造成了欺骗,声称已实施适当的保护措施,但实际上并未落实。具体而言,投诉指出万豪和喜达屋在密码、访问控制、防火墙、网络分段以及软件和系统的更新方面存在严重缺失,未能部署多因素认证。结果,恶意行为者通过三次不同的数据泄露事件获得了客户的个人信息,包括护照信息、支付卡号码和电子邮件地址。万豪数据泄露事件不仅损害了客户信任和品牌形象,还强调了企业在数据安全、透明度和应急响应方面的必要性。