全球最大飯店集團萬豪國際(Marriott)上周公佈,集團下喜達屋連鎖包括W Hotels、喜來登、威斯汀、艾美等知名飯店的客戶資料庫入侵,恐已導致5億住客資料外洩。

今年9月8日萬豪內部安全系統發出警示,顯示旗下喜達屋(Starwood)飯店在美國的客戶預約資料庫遭未授權存取並將之加密。在外部安全廠商協助下,萬豪11月19日萬豪已經成功解密,並得知受影響的資料來自旗下喜達屋飯店。該飯店進一步研究發現,喜達屋網路在2014年即已遭駭,使駭客得已複製取走從2014年直到今年9月初的客戶資料。

喜達屋是全球最大飯店連鎖,擁有30家飯店品牌及6700多家飯店,資產遍佈129個國家地區。旗下品牌包括W Hotels、喜來登(Sheraton Hotels & Resorts)、威斯汀(Westin Hotels & Resorts)、艾美(Le Méridien Hotels & Resorts)、福朋(Four Points by Sheraton)、聖瑞吉(St. Regis)、及艾麗(Design Hotel)、Element Hotels、雅樂軒(Aloft Hotels)、The Luxury Collection及Tribute Portfolio。喜達屋於2016年9月由萬豪飯店收購。

本案還在調查中,但萬豪飯店認為恐怕已經有近5億曾在喜達屋旗下飯店預約的客戶資料。而其中有將近3.27億用戶的個資,包括姓名、通訊地址、電話、電子郵箱、帳號密碼及喜達屋客戶帳號資訊、生日、姓名、入住及退房資訊、預約日期、通訊偏好方式等資料被駭客竊取,其中部分客戶的支付資訊,包括信用卡號碼和信用卡截止日等也外洩。但萬豪飯店表示信用卡號碼曾以AES-128等級加密要解密這些資訊需要二個元素,但萬豪表示截止上周已排除二者都被取得的可能性。其他客戶只有姓名、及通訊地址、電子郵箱等資訊被竊。

萬豪飯店已經報警並通知主管機關,同時從11月30日起已陸續透過電子郵件通知受到影響的客戶。而除了公開致歉及協助調查外,該飯店也成立多語客服專線及專門網站 (info.starwoodhotels.com)回覆客戶對個資外洩的所有疑問,也承諾加速淘汰喜達屋系統及強化網路的安全防護措施。

目前不知台灣地區的W Hotels、希爾頓、威斯汀、艾美、福朋及艾麗酒店客戶是否受到影響。

這並非喜達屋飯店第一次遭駭。2015年這家飯店POS系統也曾遭駭導致北美客戶信用卡資料外洩。喜達屋和萬豪也在2016年母公司HEI資料外洩事件中名列受駭名單。以規模而言,這次受影響規模不但超過以往,僅次於雅虎30 億用戶個資外洩事件,而其駭客活動期間長達四年,恐怕也是造成重創的主因。

事實上,和萬豪同屬HEI集團下的多家知名飯店連鎖,包括洲際君悅飯店,也分別於2016及2017年間數次傳出被駭,影響北美及其他地區飯店客戶。 

【補充更新】關於喜達屋客戶資料庫遭駭,對於臺灣旅客在全球的遇害情形,以及美國的客戶預約資料庫遭未授權存取,臺灣地區13家飯店是否也有相同的狀況,我們也在12月3日詢問了像是臺灣的喜來登飯店,不過,他們公關表示,這部分是由總部負責,他們並不清楚。文⊙羅正漢


Advertisement

更多 iThome相關內容