继英国航空公司 (British Airways,简称BA) 因数据泄露被开出创纪录的2.3 亿美元罚单之后,国际酒店集团万豪也将面临英国数据隐私监管机构开出的 9920万英镑(约1. 23 亿美元)的罚单,原因是其于 2016 年收购的喜达屋酒店多年前所发生的数据泄露事件影响了 3.39 亿用户。
据悉,万豪酒店于 2018 年 9 月 8 日发现了这一漏洞,但一直等到 11 月 30 日才对外披露了此事,而该漏洞甚至可以追溯到 2014 年的喜达屋酒店数据泄露问题(万豪于 2016 年收购喜达屋酒店),这使得攻击者有能力自 2014 年开始就访问喜达屋酒店数据库。至于受影响的用户数量,万豪给出的最初估值为 5 亿,现在也减少到了 3.83 亿。
虽然攻击者只复制了 910 万个加密的支付卡号码,但是长期存在的数据泄露现象使得他们能够访问数亿客户的敏感个人信息,包括护照复印件、出生日期以及酒店预订日期等等。
本周二(7月9日),万豪向美国证券交易委员会 (SEC) 提交了一份报告,披露了英国信息委员会办公室 (ICO) 因其违反欧盟《通用数据保护条例》(GDPR,2018年5月25日生效)而向其处以 99,200,396 英镑罚款的事情。
针对此事,万豪国际集团总裁兼首席执行官 Arne Sorenson 表示:
我们对 ICO 的决定通知感到失望,我们将对此提出异议。万豪一直与 ICO 合作在调查这起事件,该事件涉及对喜达屋客户预订数据库的一起犯罪攻击。
据悉,就在 ICO 宣布针对万豪酒店的罚款通知前一天,英国航空公司 (BA) 也因为 2018 年的网站违规行为影响了 50 万名客户而收到了 GDPR 实施以来最高的罚款记录——1.83 亿英镑。对于这项罚款,英国航空公司同样提出了质疑,表示会继续上诉。
万豪酒店也打算针对此次罚款进行上诉,谷歌也是如此,由于其违反了《通用数据保护条例》(GDPR) 的透明性原则、提供充分信息以及针对个性化广告缺乏数据处理的合法性基础,而被法国数据监管机构 CNIL 处以 5000 万欧元的高额罚款。
今天,ICO 表示,ICO 代表其他欧盟成员监管机构针已经对万豪违规行为进行了调查,结果发现,共计 3000 万欧洲居民受到了万豪数据泄露事件的影响,其中包括 700 万英国居民。而在 2016 年万豪收购之前两年,喜达屋的酒店预订系统就已经遭到了破坏。但是这一问题直到 2018 年才被发现,这也就意味着,自 2014 年起攻击者就能够访问喜达屋的数据库。
对此,ICO 已经裁定万豪在收购喜达屋之时未能进行 “充分的尽职调查”,并且没有采足够的措施来增强安全性。
ICO 专员 Elizabeth Denham 评论称:
GDPR 明确规定,组织必须对其持有的个人数据负责。这包括在进行公司收购时进行适当的尽职调查,并制定适当的问责措施,在评估已经获取的个人数据的同时,还需要评估这些数据是如何受到保护的。个人数据具有实际价值,因此组织有法律义务确保其安全性,就如同他们对待任何其他资产一样。如果不这样做,ICO 会毫不犹豫地采取强有力的行动,以切实地保护公众的权力和安全。