萬豪國際酒店集團(tuán)已同意支付5200萬美元作為和解協(xié)議的一部分，該數(shù)據(jù)泄露事件暴露了全球超過3.44億名客戶的信息。目前，萬豪在美國各地以及130多個其他國家/地區(qū)管理著7000多家酒店。

這家總部位于馬里蘭州貝塞斯達(dá)的酒店公司還同意加強(qiáng)其數(shù)據(jù)安全，并解決2014年至2020年間導(dǎo)致三次重大泄露的問題，根據(jù)聯(lián)邦貿(mào)易委員會（FTC）的說法。監(jiān)管機(jī)構(gòu)表示，萬豪國際及其子公司喜達(dá)屋酒店及度假村將不得不實(shí)施“一個健全的信息安全計劃以解決指控”。

在并行調(diào)查后，F(xiàn)TC和49個州以及哥倫比亞特區(qū)的總檢察長分別宣布了與萬豪的和解協(xié)議條款。根據(jù)FTC消費(fèi)者保護(hù)局局長塞繆爾·萊文的說法，這些協(xié)議將確保萬豪在全球范圍內(nèi)改善其酒店的數(shù)據(jù)安全實(shí)踐。

萊文說：“萬豪糟糕的安全實(shí)踐導(dǎo)致了多次泄露，影響了數(shù)億客戶?！痹谄渚W(wǎng)站上發(fā)布的一份聲明中，萬豪表示，作為和解的一部分，它對“潛在指控”沒有承認(rèn)責(zé)任。它還表示，已經(jīng)加強(qiáng)了其數(shù)據(jù)隱私和信息安全實(shí)踐，并將繼續(xù)做得更多。

協(xié)議的條款是什么？

作為與FTC的和解協(xié)議的一部分，萬豪被命令采取措施更好地保護(hù)客戶的個人信息，并讓客戶對他們的數(shù)據(jù)有更多的控制權(quán)。

萬豪同意為美國的所有客戶提供一種方式，要求刪除與其電子郵件地址或忠誠度獎勵賬戶號碼相關(guān)的個人信息。此外，和解要求萬豪在客戶請求時審查忠誠度獎勵賬戶，并恢復(fù)被盜的忠誠度積分。

它還被要求實(shí)施一個“全面”的信息安全計劃，包括多因素認(rèn)證、加密和其他保障措施。此外，公司同意配合對其信息安全計劃的第三方審計。萬豪還被告知，只有在業(yè)務(wù)需要時才收集和保留個人信息，并在不再需要時刪除收集的數(shù)據(jù)。在與各州的單獨(dú)和解中，萬豪還同意支付5200萬美元的罰款，并解決與FTC協(xié)議中概述的類似的數(shù)據(jù)安全指控。

這些指控是什么？

根據(jù)FTC的說法，萬豪和喜達(dá)屋“欺騙”了消費(fèi)者，聲稱他們擁有適當(dāng)?shù)臄?shù)據(jù)安全，而實(shí)際上并非如此。

具體來說，投訴聲稱萬豪和喜達(dá)屋未能實(shí)施適當(dāng)?shù)拿艽a、訪問和防火墻控制或網(wǎng)絡(luò)分段，修補(bǔ)過時的軟件和系統(tǒng)，或充分記錄和監(jiān)控網(wǎng)絡(luò)環(huán)境。

FTC表示，也沒有部署多因素認(rèn)證。結(jié)果，“惡意行為者”通過至少三次單獨(dú)的數(shù)據(jù)泄露獲得了個人信息，包括護(hù)照信息、支付卡號碼、忠誠度號碼、出生日期、電子郵件地址和個人信息。

根據(jù)FTC的說法，第一次泄露始于2014年6月，影響了喜達(dá)屋，并在酒店通知客戶之前未被檢測到14個月。投訴指出，這次泄露暴露了超過4萬名客戶的支付卡信息。盡管萬豪在2016年收購了喜達(dá)屋，但它對兩個品牌的數(shù)據(jù)安全實(shí)踐負(fù)有責(zé)任。

第二次泄露始于2014年7月左右，直到2018年9月才被檢測到。在此期間，不良行為者訪問了全球3.39億喜達(dá)屋客戶賬戶記錄，包括超過500萬個未加密的護(hù)照號碼。

第三次泄露影響了萬豪自己的網(wǎng)絡(luò)，從2018年9月至2020年2月未被檢測到。FTC表示，惡意行為者在那段時間內(nèi)訪問了520萬客戶記錄，包括180萬美國人的數(shù)據(jù)。

參考來源：https://cybernews.com/news/marriott-settles-data-breach/