全球最大酒店集团万豪国际(Marriott)上周公布,集团下喜达屋连锁包括W Hotels、喜来登、威斯汀、艾美等知名酒店的客户数据库入侵,恐已导致5亿住客数据外泄。
今年9月8日万豪内部安全系统发出警示,显示旗下喜达屋(Starwood)酒店在美国的客户预约数据库遭未授权访问并将之加密。在外部安全厂商协助下,万豪11月19日万豪已经成功解密,并得知受影响的数据来自旗下喜达屋酒店。该酒店进一步研究发现,喜达屋网络在2014年即已遭黑,使黑客得已复制取走从2014年直到今年9月初的客户数据。
喜达屋是全球最大酒店连锁,拥有30家酒店品牌及6700多家饭店,资产遍布129个国家地区。旗下品牌包括W Hotels、喜来登(Sheraton Hotels & Resorts)、威斯汀(Westin Hotels & Resorts)、艾美(Le Méridien Hotels & Resorts)、福朋(Four Points by Sheraton)、圣瑞吉(St. Regis)、及艾丽(Design Hotel)、Element Hotels、雅乐轩(Aloft Hotels)、The Luxury Collection及Tribute Portfolio。喜达屋于2016年9月由万豪酒店收购。
本案还在调查中,但万豪酒店认为恐怕已经有近5亿曾在喜达屋旗下酒店预约的客户数据。而其中有将近3.27亿用户的个人信息,包括姓名、通信地址、电话、电子邮箱、帐号密码及喜达屋客户帐号信息、生日、姓名、入住及退房信息、预约日期、通信偏好方式等数据被黑客窃取,其中部分客户的支付信息,包括信用卡号码和信用卡截止日等也外泄。但万豪酒店表示信用卡号码曾以AES-125等级加密要解密这些信息需要二个元素,但万豪表示截止上周已排除二者都被取得的可能性。其他客户只有姓名、及通信地址、电子邮箱等信息被窃。
万豪酒店已经报警并通知主管机关,同时从11月30日起已陆续通过电子邮件通知受到影响的客户。而除了公开致歉及协助调查外,该酒店也成立多语客服专线及专门网站(info.starwoodhotels.com)回复客户对个人信息外泄的所有疑问,也承诺加速淘汰喜达屋系统及强化网络的安全防护措施。
这并非喜达屋酒店第一次遭黑。2015年这家酒店POS系统也曾遭黑导致北美客户信用卡数据外泄。喜达屋和万豪也在2016年母公司HEI数据外泄事件中名列受黑名单。以规模而言,这次受影响规模不但超过以往,仅次于雅虎30亿用户个人信息外泄事件,而其黑客活动期间长达四年,恐怕也是造成重创的主因。
事实上,和万豪同属HEI集团下的多家知名酒店连锁,包括洲际及君悦酒店,也分别于2016及2017年间数次传出被黑,影响北美及其他地区酒店客户。