不到两年，万豪酒店再次发生数据泄露。本周二，万豪酒店表示，公司有近520万房客的个人信息被泄露。上一次万豪有3.83亿人次详细个人信息被泄露。

　　1、事件回顾

　　3月31日，据CNET报道，万豪酒店本周二宣布，该公司发生一起数据泄露事件，有近520万房客个人信息被泄露。

　　这家酒店集团表示，泄露的个人信息可能包括姓名、地址、电子邮件、 *** 号码和生日，还有忠实用户账户的详细信息，比如房间偏好。据悉，万豪酒店注意到，2月底，有人在特许经营场所利用两名员工的登录凭据访问了大量房客信息。

　　万豪酒店声称，这起数据泄露事件正在调查，但不认为房客的信用卡号、护照信息或驾照号被泄露。目前，这家公司已经给受影响的房客发送通知邮件，并且为他们免费提供一年的个人信息监测。

　　对这家知名酒店集团而言，两年不到，这是它发生的第二起重大安全事件。

　　2、上次更严重：索赔125亿美元，被罚1.24亿美元

　　2018年11月，万豪酒店宣布，旗下喜达屋酒店（Starwood Hotel）的一个顾客预订数据库被黑客入侵，可能有多达5亿人次预订喜达屋酒店客人的详细个人信息被泄露。

　　据悉，黑客入侵最早从2014年就已经开始，但公司直到2018年9月才之一次收到警报。这次泄露的5亿人次信息中，约3.27亿人的泄露信息包括姓名、邮寄地址、 *** 号码、电子邮件地址、护照号码、SPG俱乐部账户信息、出生日期、性别、到达与离开信息、预订日期和通信偏好。更严重的是，对某些客人而言，泄露信息还包括支付卡号和支付卡有效期，虽然它们已经加密，但无法排除该第三方已经掌握密钥的可能性。

　　经过一段时间调查后，万豪酒店将遭遇信息泄露的客户数量修正为3.83亿。

　　针对本次事件，阿里云安全的一篇分析文章指出：酒店集团数据泄露一般有三大原因：一是未经授权的第三方组织窃取数据；二是特权账号被公开至GitHub导致泄露，开发人员将包含有数据库账号和密码的代码上传至GitHub，被黑客扫描到以后进行了拖库；三是POS机被恶意软件感染，因POS机被植入恶意程序，导致支付卡信息被窃取。

　　此次数据泄露，万豪酒店不仅引来诉讼，而且被 *** 监管部门重罚。诉讼上，美国Geragos&Geragos律师事务所律师本·梅塞拉斯和UnderdogLaw法律顾问迈克尔·富勒代表两名原告大卫·约翰逊和克里斯·哈里斯对万豪酒店提起集体诉讼，索赔125亿美元。

　　罚款上，英国数据隐私监管机构宣布，万豪酒店集团因在2014年发生数据泄露将面临近9900万英镑（约合1.24亿美元）的罚款。因为它违反了欧盟GDPR（通用数据保护条例）条例。GDPR中存在明确规定，所有机构必须对所持有的个人数据负责，包括在合作或交易时需要进行适当的尽职调查，以及采取适当的措施评估已取得的个人数据，以及评估如何保护这些数据。个人数据有真正的价值，因此机构有法律责任确保其安全，就像处理任何其他资产一样。