萬豪國際遭勒索軟體攻擊，可能外洩公司及客戶資料20GB

全球最大飯店集團萬豪國際（Marriott）本周傳出勒索軟體攻擊，可能洩露20GB資料，包括客戶信用卡等個資以及公司業務、人事部機密資訊，影響300餘人。本事件也是這家飯店集團4年內第3次資料外洩。

這次事件是由駭客主動向Databreach.net網站爆料，該網站稱其為GNN（Group of No Name）。GNN聲稱於6月駭入萬豪位於馬里蘭州BWI機場的萬豪飯店一臺伺服器，並成功外洩該飯店客戶及公司機密資料。駭客也聲稱和萬豪就付款進行交涉過，但後者後來中斷聯繫。

萬豪透過委託律師事務所向媒體坦承勒索軟體攻擊及資料外洩，但這家飯店表示，入侵事件已在6小時內控制住。本事件已經通報執法單位，萬豪也通知了包含客戶及員工在內300多人，公司也正在調查此事。

至於駭客如何駭入伺服器，萬豪方面表示是透過社交工程，騙取一名助理員工的電腦帳密使其得以存取公司網路。GNN則暗示是因為萬豪安全做得太差而讓他們突破防護，輕易取得資料。

GNN宣稱取得20GB資料，也分享了部份文件作為證明。不過萬豪方面表示，根據其調查，除了該助理之外沒有其他資料遭到洩露。

根據GNN提供的資料樣本，這批檔案包含飯店集團的內部機密業務文件，像是勞工管理及排程平臺存取資料、人事部門資料、飯店住客及飯店人員資料等。住客資料方面包含航空機組人員的入住資料，像是到達及預定起飛的航班、姓名、職位及預定房間號碼、航空公司信用卡號碼等。以檔案日期判斷，部份飯店資料檔案可能已經失效。

GNN駭客稱已經和萬豪就支付贖款進行聯繫，但飯店方面之後中斷連繫，可能是因為聽到索價太高而退縮，因此雙方並未有實質付款情形。

GNN自稱已經活動5年，只是一直很低調以避免事情張揚，該組織聲稱只攻擊企業，不攻擊政府，而且他們不會加密企業檔案以免破壞組織作業。

這是萬豪酒店集團4年來第3次資料外洩事件。2018年底萬豪國際集團下喜達屋連鎖包括W Hotels、喜來登、威斯汀、艾美等知名飯店的客戶資料庫入侵，導致5億住客資料外洩。2020年7月集團的顧客管理系統再遭駭，洩露約520萬名顧客個資。萬豪2018年的重大資訊外洩事件也名列史上外洩資料最多的單一事件之一，被英國政府判罰1,840萬英鎊。