万豪国际因数据泄露遭遇5200万美元罚款

关键要点

万豪国际及其子公司喜来登因未能实施合理的数据安全措施，面临5200万美元罚款。数据泄露事件影响了全球超过344万客户，包括护照信息和支付卡数据。新协议要求万豪对客户提供数据删除请求的方式，并恢复被盗的忠诚积分。万豪需建立全面的信息安全程序，并每年向FTC报告合规情况。

万豪酒店和喜来登因遭遇过往三次重大的数据泄露事件，被罚款并要求实施全面的安全程序。根据美国联邦贸易委员会FTC的报告，这些企业未能采取合理的数据安全措施，导致2014年至2020年期间的三个大规模数据泄露事件，影响了全球超过344亿位消费者。

在与FTC达成的和解协议中，万豪和喜来登同意为其所有美国客户提供删除与其电子邮件地址或忠诚度奖励账户相关的个人信息的请求途径。此外，万豪还需在客户请求下审核忠诚度奖励账户，并恢复被盗的忠诚积分。

在另一个和解协议中，万豪还同意向49个州及哥伦比亚特区支付5200万美元，以解决类似的数据安全指控。

FTC消费者保护局局长Samuel Levine表示：“万豪的糟糕安全做法导致了多次数据泄露，影响了数亿客户。FTC今天采取的行动与各州的合作，将确保万豪在全球酒店中改善其数据安全做法。”

FTC详细列出的安全失误

FTC指控万豪与喜来登的安全失误导致至少三起数据泄露事件，恶意行为者获取了数亿消费者的护照信息、支付卡号、忠诚度号码、出生日期、电子邮件地址及其他个人信息。

第一次数据泄露发生在2014年6月，涉及超过40000名喜来登客户的支付卡信息，这一事件未被发现，直到2015年11月喜来登通知客户时才揭晓，距万豪宣布收购喜来登仅四天。第二次数据泄露始于2014年7月，一直到2018年9月都未被察觉。在此期间，恶意行为者访问了339亿个喜来登客户账户记录，包括525万条未加密的护照号码。第三次数据泄露发生于2018年9月至2020年2月，影响了万豪自有网络。恶意行为者访问了520万条客户记录，包括来自180万美国人的数据。被泄露记录中包含大量个人信息，如姓名、邮寄地址、电子邮件地址、电话号码、生日及忠诚账户信息。

和解协议的要求

根据提议的命令，万豪和喜来登将被禁止虚假陈述他们如何收集、维护、使用、删除或披露消费者个人信息，以及它们在保护个人信息隐私、安全、可用性、机密性或完整性方面的程度。提议命令的其他条款包括：

规定内容描述数据最小化企业必须实施政策，只保留个人信息，以满足其收集目的为止，并明确说明收集个人信息的目的。全面的信息安全程序万豪与喜来登需建立、实施并维护全面的信息安全程序，并在未来20年内向FTC每年报告合规情况。该信息安全程序必须包含强有力的保护措施，并每两年接受独立的第三方评估。忠诚度奖励计划账户审核企业须为消费者提供请求审核其万豪Bonvoy忠诚度奖励账户中未经授权活动的方法，万豪必须恢复被恶意行为者盗取的任何忠诚积分。数据删除企业必须为客户提供请求删除与其电子邮件地址或忠诚度奖励计划账户号码相关的个人信息的链接。

Closed Door Security的首席执行官William Wright对此表示，考虑到万豪安全失误的规模，这一罚款