资讯概要
10月9日,美国联邦贸易委员会就多起数据泄露事件对万豪和喜达屋采取行动,要求万豪必须实施全面的安全计划,以解决联邦贸易委员会的指控,即此前松懈的数据安全导致了三次大规模数据泄露。
美国联邦贸易委员会将要求万豪国际集团及其子公司喜达屋酒店及度假村国际集团实施强有力的信息安全计划,以解决因公司未能实施合理的数据安全而导致 2014 年至 2020 年发生三次大规模数据泄露事件、影响全球超过 3.44 亿客户的指控。
在与联邦贸易委员会达成的拟议和解令中
,万豪和喜达屋还同意向所有美国客户提供请求删除与其电子邮件地址或忠诚度奖励账户号码相关的个人信息的途径。此外,拟议的和解要求万豪根据客户要求审查忠诚度奖励账户并恢复被盗的忠诚度积分。
根据另一项和解协议
,万豪还同意向49个州和哥伦比亚特区支付5200万美元罚款,以解决类似的数据安全指控。联邦贸易委员会和各州同时开展调查。联邦贸易委员会无权在本案中实施民事处罚。
美国联邦贸易委员会消费者保护局局长塞缪尔·莱文 (Samuel Levine) 表示:“万豪酒店糟糕的安全措施导致多起数据泄露事件,影响了数亿客户。美国联邦贸易委员会今天采取的行动将与我们的州合作伙伴协调,确保万豪酒店改善其全球酒店的数据安全措施。”
01 万豪和喜达屋的安全失误
万豪在美国和其他 130 多个国家/地区管理和特许经营着 7,000 多家酒店。万豪于 2016 年收购喜达屋后,负责这两个品牌的数据安全实践。
在拟议的投诉中,联邦贸易委员会表示,万豪和喜达屋声称拥有合理和适当的数据安全,从而欺骗了消费者。尽管这些说法不实,但这两家公司却没有部署合理或适当的安全措施来保护个人信息,这是不公平的。
具体而言,拟议的投诉指控万豪和喜达屋未能:实施适当的密码控制、访问控制、防火墙控制或网络分段;修补过时的软件和系统;充分记录和监控网络环境;以及部署足够的多因素身份验证。
根据拟议的投诉,联邦贸易委员会指控万豪和喜达屋的安全漏洞导致了至少三起独立的数据泄露事件,其中恶意行为者获取了数亿消费者的护照信息、支付卡号、忠诚度号码、出生日期、电子邮件地址和/或个人信息。
根据拟议的投诉:
第一次泄露事件始于 2014 年 6 月,涉及 40,000 多名喜达屋客户的支付卡信息。
此次泄露事件持续了 14 个月,直到 2015 年 11 月,也就是万豪宣布收购喜达屋的四天后,喜达屋才通知客户。
第二次入侵始于 2014 年 7 月左右
,直到 2018 年 9 月才被发现。在此期间,
恶意行为者访问了全球 3.39 亿条喜达屋酒店客人账户记录
,其中包括 525 万个未加密的护照号码。
第三次入侵事件从 2018 年 9 月一直持续到 2020 年 2 月
,一直未被发现,影响了万豪自己的网络。
恶意行为者访问了全球 520 万条客人记录,其中包括 180 万美国人的数据
。被盗记录包含大量个人信息,包括姓名、邮寄地址、电子邮件地址、电话号码、出生月份和日期以及忠诚度帐户信息。
02 拟议要求
根据拟议命令,万豪和喜达屋不得歪曲其收集、维护、使用、删除或披露消费者个人信息的方式,以及公司保护个人信息隐私、安全性、可用性、机密性或完整性的程度。拟议命令的其他规定包括:
数据最小化
:公司必须实施一项政策,仅在实现收集个人信息目的所需的合理时间内保留个人信息。公司还必须说明收集个人信息的目的以及保留个人信息的具体业务需求。
综合信息安全计划
: 万豪和喜达屋必须建立、实施和维护综合信息安全计划,并每年向联邦贸易委员会证明其合规性,为期 20 年。信息安全计划必须包含强大的保护措施,并且每两年接受一次独立的第三方评估。
忠诚度奖励计划账户审查
: 公司必须为消费者提供一种方法来请求审查其万豪旅享家忠诚度奖励账户中的未经授权的活动,并且万豪必须恢复任何被恶意行为者窃取的忠诚度积分。
数据删除
: 公司必须提供一个链接,供客户请求删除与电子邮件地址和/或忠诚度奖励计划帐号相关的个人信息。
委员会以 3-0-2 票 通过了行政投诉并接受了拟议的同意协议。
10月7日,由康涅狄格州共同牵头的 50 名总检察长联盟已与万豪国际集团达成和解,该联盟调查了万豪国际集团多年来的一个客户预订数据库发生的大规模数据泄露事件。
联邦贸易委员会在整个调查过程中一直与各州密切协调,并与万豪国际集团达成了平行和解。
根据与总检察长达成的和解,万豪国际集团同意采用动态风险保护方法加强其数据安全实践,提供某些消费者保护措施,并向各州支付 5200 万美元。
康涅狄格州将从和解中获得 1,992,130.00 美元。
“公司有义务采取合理措施保护消费者数据安全。
万豪国际显然未能做到这一点,导致喜达屋计算机网络遭到入侵,数百万客人的个人信息被泄露。
这项由康涅狄格州共同牵头的 50 个州和解迫使建立强大的基于风险的保护系统来防范不断演变的网络安全威胁。
我们将继续与全国的跨州合作伙伴密切合作,确保公司采取一切合理的预防措施来保护我们的个人信息,”
2016年,万豪收购了喜达屋,并于 2016 年控制了喜达屋的计算机网络。
然而,从 2014 年 7 月到 2018 年 9 月,系统入侵者一直未被发现。
这导致 1.315 亿条美国客户记录遭到泄露。
受影响的记录包括联系信息、性别、出生日期、旧版喜达屋优先顾客信息、预订信息和酒店住宿偏好,以及少量未加密的护照号码和未过期的支付卡信息。
喜达屋数据库遭泄露消息公布后不久,由 50 名司法部长组成的联盟对此次泄露事件展开了跨州调查。
今天的和解解决了总检察长的指控,即万豪酒店未能实施合理的数据安全措施并修复数据安全缺陷,尤其是在尝试使用和集成喜达屋酒店到其系统时,违反了州消费者保护法、个人信息保护法以及(如适用)违规通知法。
根据和解条款,万豪酒店同意加强并不断改进其网络安全实践。
具体措施包括:
实施全面的信息安全计划
。
这包括新的总体安全计划要求,例如纳入零信任原则、定期向公司最高层(包括首席执行官)汇报安全情况,以及加强员工对数据处理和安全的培训。
数据最小化和处置要求
,这将减少收集和保留的消费者数据。
关于消费者数据的特定安全要求
,包括组件强化、进行资产清点、加密、分段以限制入侵者在系统中移动的能力、补丁管理以确保及时应用关键安全补丁、入侵检测、用户访问控制以及日志记录和监控以跟踪网络内文件和用户的移动。
加强对供应商和特许经营商的监督
,特别强调对“关键 IT 供应商”的风险评估,并明确与云提供商签订的合同。
将来,如果万豪收购另一家实体,它必须及时进一步
评估被收购实体的信息安全计划
,并制定计划以解决已发现的安全漏洞或缺陷,作为整合到万豪网络的一部分。
每两年对万豪的信息安全计划进行一次独立第三方评估
,为期 20 年,以进行额外的安全监督。
这些和解条款以完善的风险导向方法为基础,万豪不仅需要进行年度企业级风险评估,还必须全年进行风险分析,以了解安全控制的变化。
这些持续的风险评估必须解决“伤害他人”的标准——其中包括对消费者的潜在伤害。
作为和解的一部分,万豪将为消费者提供特定保护,包括数据删除选项,即使消费者目前根据州法律没有这项权利。
万豪必须为消费者的忠诚度奖励账户(如万豪旅享家)提供多因素身份验证,并在存在可疑活动时对这些账户进行审查。
康涅狄格州、马里兰州、俄勒冈州以及哥伦比亚特区、伊利诺伊州、路易斯安那州、马萨诸塞州、北卡罗来纳州和德克萨斯州共同领导了这项跨州调查,阿拉巴马州、亚利桑那州、阿肯色州、佛罗里达州、内布拉斯加州、新泽西州、纽约州、俄亥俄州、宾夕法尼亚州和佛蒙特州的执行委员会协助调查,阿拉斯加州、科罗拉多州、特拉华州、乔治亚州、夏威夷州、爱达荷州、印第安纳州、爱荷华州、堪萨斯州、肯塔基州、缅因州、密歇根州、明尼苏达州、密西西比州、密苏里州、蒙大拿州、内华达州、新罕布什尔州、新墨西哥州、北达科他州、俄克拉荷马州、罗德岛州、南卡罗来纳州、南达科他州、田纳西州、犹他州、弗吉尼亚州、华盛顿州、西弗吉尼亚州、威斯康星州和怀俄明州也参与其中。
