萬豪訂房系統被黑客入侵 5億人資料被盜成世紀大案
【明報專訊】全球最大酒店王國萬豪國際集團(Marriott International,下稱萬豪)周五突然公布,旗下喜達屋酒店及度假村集團(Starwood Hotels & Resorts)的訂房系統遭黑客入侵,並且早在四年前開始發生,估計約5億客戶資料外泄,料其中逾3.2億外泄紀錄記有客戶姓名、出生日期和護照號碼等個人私隱資料,部分更包括經加密的信用卡號碼及到期日。
萬豪指,曾嘗試找出有否包括會重覆的紀錄,例如一名住客重覆留宿,因此喜達屋是次的外泄的規模仍未完全清楚。至於黑客能夠如何利用信用卡資料亦尚未清楚,因為那些外泄的信用卡資料是經過加密儲存。集團表示,已向執法部門通報事件,而美國紐約總檢察長已開展調查。
總部位在美國馬里蘭州畢士大(Bethesda)的萬豪表示,在今年9月8日收到內部保安系統警示,那是有關「嘗試讀取喜達屋客戶訂房系統的數據庫」。萬豪隨後迅速透過保安專家的協助去找出曾發生過什麼。
萬豪指,在調查期間得悉,喜達屋的網絡自2014年起曾遭到「未獲授權的讀取」,而最近更發現那未經授權一方曾複製資料及將它加密,並準備將它刪除。於今年11月19日,萬豪能將資料解密和確定那些內容是來自喜達屋訂房系統的數據庫。
包括身分及信用卡資料
集團指,確辨數據庫資料有否重覆的工作尚未完成,但相信它可儲存最多達約5億名曾訂喜達屋的客戶,其中約3.27億客戶的資料包括其姓名、地址、電話號碼、電郵地址、護照號碼、出生日期、性別、入住及退日期、客戶通訊方式和喜達屋SPG俱樂部會員帳號。
萬豪續指,部分的資料亦可包括信用卡號碼及到期日,但那些資料已按加密標準AES-128來加密,需要兩組資料才可將信用卡號碼解密。
萬豪是次資料外泄被指是歷來最大宗之一。去年,Equifax被黑客入侵影響了超過1.45億人,當時已經驚動北美洲。
萬豪對事件表示深切遺憾,並表示將通知受影響顧客。集團行政總裁索倫森(Arne Sorenson)表示﹕「我們未達到顧客的期望,也未達到我們對自己的期望。」他又稱集團目前正拼盡所能支援顧客,也會汲取教訓。
紐約檢察長安德伍德(Barbara Underwood)發推文指正就是次萬豪資料外泄立案調查,「紐約人有權知道個人資料可得到保護。」其辦公室傳訊總監及資深政策顧問史皮塔尼克(Amy Spitalnick)則指,根據紐約的法例,萬豪需要通知當局,但當局尚未收到。據《路透社》指,美國聯邦調查局(FBI)亦會調查;此外,康涅狄格州及伊利諾斯州的執法部門亦指稱會查是次外泄。
萬豪設立電話查詢中心(7天服務及以多種語言回應),並且從昨日起向受影響及留在電郵通訊的客戶發出電郵通告。另外,萬豪指稱給客戶免費提供一年WebWatcher服務。
WebWatcher的服務會監察分享個人資料的互聯網站,當發現顧客個人資料的證據後會向客人發出警示。不過,其於監管及其他理由,並非每個國家均設有如此監察服務,而美國、加拿大及英國的客戶則可開始登記該服務程序,加拿大的相關網址為https://answers.kroll.com/en-CA/index.html。
黑客入侵始於2014年,但萬豪是在2015年11月出價122億美元併購喜達屋,交易在2016年9月才完成。喜達屋旗下的酒店品牌包括W Hotels、瑞吉(St. Regis)、喜來登(Sheraton Hotels & Resorts)、威斯汀(Westin Hotels & Resorts)、Element Hotels、Aloft Hotels、The Luxury Collection、Tribute Portfolio、Le Meridien Hotels & Resorts、Four Points by Sheraton和Design Hotels。