万豪5亿用户信息外泄 CEO致歉

　　南方都市报：花总点名深圳一酒店经理系其信息泄露源头！已到派出所报警做笔录 来源：南方都市报 12月30日上午，曝光酒店卫生清洁乱象的微博大V @花总丢了金箍棒 发出微博，直接点名深圳豪派特华美达广场酒店总经理彭某某侵犯公民个人信息、编造传播网络谣言，并称已经报案，再次引发网友广泛关注。 花总在微博上称，“今天上午，本人在龙华区向@深圳公安 报案，控告@深圳豪派特华美达广场酒店总经理彭某侵犯公民个人信息、编造传播网络谣言。经过顺藤摸瓜，我们找到了彭先生。彭先生年富力强却频频失忆，虚与委蛇，不肯从善如流。”同时@了该酒店相关管理方。 南都记者联系花总，他表示深圳豪派特华美达广场酒店总经理彭某某为目前他找到泄露其个人信息的最上游。“我有反复跟他沟通过，他很有礼貌但我感觉不真诚，他先说我护照的图片是从百度上找到的，但我的信息是11月16日才开始在网络传播，在之前百度不可能有我个人信息的图片；后来他又说在微信朋友圈得到，但我们发现他发出的图片都是高清原图，理论上朋友圈下载的图片不会是高清版。”花总认为，该酒店员工彭某某可能就为其个人信息泄露源头，或至少与泄露源头有密切关系。 12月30日上午，花总到深圳豪派特华美达广场酒店辖区的派出所报警，南都记者致电该派出所，工作人员确认花总已于早上报案，并做了相关笔录，目前相关情况还在调查中。 在此前一天，南都记者从花总代理律师周兆成处获悉，花总与深圳某五星级酒店及其员工谢先生达成和解协议，谢先生曾在酒店卫生乱象视频曝光后的11月16日，在某微信群中转发花总个人护照信息，并留言“此人目前已在深圳，大家警惕提防”。据悉，事后该酒店方与员工谢先生致歉并提供上游线索，花总随后签下谅解书放弃追究责任。 南都记者联系深圳豪派特华美达广场酒店客服，随后酒店前厅部门负责人张先生回电表示，据了解酒店目前没有上报过相关的信息，“花总我只是较早前有所听闻，自己对此人并不了解，你说的这个事情我还是第一次听到，我们会先作了解，稍后给予回应。”截至发稿前，南都记者暂未获得酒店方明确回应。 根据公开资料显示，深圳豪派特华美达广场酒店位于深圳北站旁，隶属美国温德姆集团旗下RAMADA PLAZA品牌，温德姆酒店集团是全球最大规模的酒店集团之一，拥有13个酒店品牌超过7440家酒店遍布全球，其中华美达品牌在全球50多个国家，800多个地区拥有900家酒店，仅在中国有超过70家酒店。 采写：南都记者 余毅菁[详情]

　　【环球时报综合报道】“美国万豪集团旗下酒店遭黑客入侵，可能有中国情报机构参与”——路透社6日的这一“独家报道”引起多方关注。报道引述不具名消息人士的话，将万豪上周披露的“5亿顾客信息泄露”事件“赖上”中国。中国外交部发言人耿爽6日在回答记者相关提问时表示，不掌握记者所说的情况。他说，中方坚决反对并依法打击任何形式的黑客攻击。如有关方面有相关证据，可以向中方提供，中国有关部门会依法开展调查，但我们坚决反对在网络安全问题上进行无端指责。 万豪国际集团11月30日发布公告称，旗下喜达屋酒店客房预订数据库遭黑客入侵，最多约5亿名客人的信息可能被泄露。目前多国监管部门已经就此事件进行调查。路透社6日发文引述“三位未获授权谈论该问题的匿名知情人士”的话称，调查该案的私人调查者发现，在这些攻击中使用的黑客工具、手段和步骤，都曾被用于此前“据认为是中国黑客发动的攻击”中。其中两位知情人士称，这表明“中国黑客攻击万豪酒店，可能旨在为北京的间谍活动收集信息，而非为了敛财”。 上述人士还称，“尽管中国已经成为该案的最大嫌疑对象，但也不排除其他黑客作案，因为其他人也曾使用相同黑客工具，其中一些工具还曾被发布在网上”。其中一名知情人士表示，目前确定幕后元凶的任务非常复杂，因为调查人员怀疑，2014年以来喜达屋的电脑网络可能遭多个黑客团伙同时侵入。除了猜测，路透社的报道没有给出任何中国官方与此事有关的证据，万豪酒店拒绝发表评论。 耿爽6日还表示，众所周知，网络安全是全球性问题，事关各国共同利益，中国是黑客攻击等网络安全威胁的主要受害国之一，也是网络安全的坚定维护者，一直与各方就打击网络犯罪保持着密切合作。我们倡导国际社会在相互尊重、平等互利基础上，通过对话合作共同应对网络安全威胁，维护共同利益。（王会聪）[详情]

　　500块就能买到你的开房记录…数据泄露危害远超想象 中新经纬 近日，数据泄露事件频发挑动着用户的神经，万豪、陌陌等企业更是深陷其中。 不过，现实情况或许比这更糟糕。中新经纬调查发现，提供一个手机号码或者身份证号，就能查到被调查人的全国开房记录、通话记录、微信聊天记录甚至名下资产等十几项个人重要隐私数据。 更匪夷所思的是，这些数据或许正被人以500-900元的价格随意买卖着。 01“500元可查开房记录” 12月3日，中新经纬通过QQ添加了一位名为小武（化名）的服务商。当中新经纬提出有个人信息查询的需求时，对方立即发来了一张图片，上面列举了18项可查询的项目，包括全国开房记录、手机定位找人、通话记录查询、快递收货地址、个人户籍、名下资产等。 ▲与小武的QQ聊天截图 小武称，个人开房记录和淘宝收货地址都可以查，大概两个小时左右能出结果。“我们这边统一价格，查开房880（元）一次，查淘宝收货地址680（元）一次，先付一半定金下单，出结果验证信息后付尾款。”小武说。 另一位名为柯南（化名）的服务商介绍，查开房记录只需提供对方姓名及身份证号，30分钟内即可查出对方3-5年的开房信息。“查单人开房记录500元，查同住记录800元，不过要先付100元定金。” 柯南还表示，付800块他们也可以恢复调取指定用户的微信聊天记录。“先支付定金100元，提供对方账号和现使用手机号码，30分钟内我们完单，导出记录给你，包括已删除的信息。”柯南说，“查询别的项目也可以，比如手机定位、机主信息、火车航班信息、淘宝收货地址等，具体看你需要什么，我们配合。” 服务商云海（化名）则对中新经纬表示，除了微信聊天记录，他们还可以查到好友列表和朋友圈信息。“查一次780块，40-70分钟出结果，只需要提供微信号、手机号，可以查一年以内的记录。”云海透露，他们是一个团队，有专门的技术人员和后台渠道，可以放心。 为了证实情况，中新经纬向柯南提供了一个手机号码，要求查询该手机号码机主的淘宝收货地址。柯南称，查淘宝收货地址也是800元，预计30分钟出单，需先付100元定金，避免跑单。 大约45分钟后，柯南发来一个压缩包，不过该文件需要输入密码才能打开。柯南称，付完尾款才能把密码发过来。为了证明文件的可信度，柯南准确说出了上述手机号码的机主姓名。 不过，当中新经纬继续质疑文件的真实性时，柯南称他们的数据绝对靠谱。“你要查的信息是我们从各大快递公司联网的数据拿的，有内部人员配合。”柯南说，“告诉你太多了。”随后，中新经纬拒绝了付清尾款。 02 数据泄露危害远超想象 中新经纬注意到，2016年12月和2017年2月，《南方都市报》、中央电视台曾分别报道个人信息如开房记录、位置信息被随意买卖的情况。如今两年过去了，这一情形并未得到明显改善。 ▲截图来源：百度 不仅是个人信息被随意买卖，今年以来，尤其是近期，用户数据泄露事件频繁发生，Facebook、Uber、华住、顺丰、万豪、陌陌等企业深陷其中。 在此次万豪信息泄露事件中，根据万豪公布的信息，泄露的房客信息包括名字、邮寄地址、邮箱地址、电话号码、护照号码、出生日期、性别、到达和离店信息等，其实已经构成一种完整意义上的个人大数据。 对于频频被曝光的数据泄露事件，360一位安全专家在接受中新经纬采访时表示，事件背后有一定的经济或情报利益动机存在，但更应考虑的问题是这些数据在后面的环节是如何被利用的，买家购买这些隐私数据后是否有进一步的应用场景，如电信诈骗、金融账号攻击等，这些危害比直接的数据买卖更具危险性。 上述360安全专家表示，用户数据泄露事件频发背后体现的是攻防失衡的现实。数据泄露事件大多是在过了很长一段时间后才曝光出来，攻击者可能用几分钟就攻破了网络，几分钟到一小时就可以窃取企业留存的用户隐私数据；而安全人员可能是在数月或者一年后才能发现已经发生了数据泄露事件。 03 个人信息如何保护？ 频发的数据泄露事件，引发人们对个人信息保护的担忧和思考。那么，个人信息该如何保护？ 一位不愿具名的网络安全专家对中新经纬表示，对于个人用户，需要定期更换并使用较长（10位以上）的复杂（大小写字母、数字、特殊字符）密码外，并分级管理自身的密码，如一级金融账号密码、二级重要账号密码、三级普通网站密码。遇到数据泄露事件， 应及时修改密码并同时修改和泄露相关的其他账号密码。 360集团董事长兼CEO周鸿祎此前在接受中新经纬采访时曾表示，互联网用户信息的保护，一方面要靠互联网公司的自觉自律，但更重要的是需要立法进行规范。他认为，要进一步完善网络安全法，对用户数据保护进行更清晰的定义，制定用户隐私信息保护“三原则”。 周鸿祎指出，上述“三原则”包括：一是国家应尽快立法明确用户使用互联网公司软硬件产品、服务产生的数据信息，是属于用户的个人资产；二是保障用户对数据信息使用的知情权、选择权；三是明确互联网公司保护用户数据信息安全的责任，用户与互联网公司存在服务契约关系，互联网公司有义务、有责任保护用户数据信息安全。 中国互联网协会法工委副秘书长胡钢在接受中新经纬采访时表示，我国已经建立了个人信息保护的刑事、民事与行政法律框架，并开始就个人信息保护推进专门立法工作。 依据我国刑法规定，违反国家有关规定，向他人出售或者提供公民个人信息，最高可处七年以下有期徒刑，并处罚金。 同时，依据我国《侵权责任法》《关于加强网络信息保护的决定》《消费者权益保护法》和《网络安全法》等，非法出售公民个人信息者，还需要承担相应行政责任与民事责任。目前，《个人信息保护法》也正在制定中。 （来源：中新经纬APP 记者：常涛） （编辑：毕凤至） [详情]

　　 新浪美股讯 北京时间12月5日，万豪国际的客户将获得免费身份盗窃监控软件，以监控账户。此前，一场大规模黑客攻击曝光了逾5亿人的数据。但在周一晚上，万豪表示，将进一步帮助受此次大规模黑客攻击影响的客户。 一位发言人表示：“由于涉及护照和潜在的欺诈行为，我们正在建立一个程序，与我们的客人合作，这些客人认为，由于他们的护照卷入了这起事件，他们经历了欺诈。” 他说：“如果通过这一程序，我们确定发生了欺诈行为，那么该公司将为客人报销获得新护照的相关费用。” 周五，该机构承认，部分受黑客攻击影响的3.27亿人的护照号码可能被盗。黑客攻击始于2014年，但直到去年9月才被发现，涉及喜达屋地产的预订数据库。 这家连锁酒店似乎听取了越来越多代表消费者采取更多行动的呼声。安保公司Bitglass的产品营销经理雅各布-塞帕（Jacob Serpa）表示，万豪需要做出这一承诺，以恢复客户间的信任。 “企业有责任保护其服务对象的个人信息，”他表示。“当组织未能保护数据时，最终受损的是客户的福祉。因此，当一家公司未能为其数据辩护时，它应该采取措施帮助那些受到其缺陷影响的人。” 来自纽约的民主党参议员查克-舒默（Chuck Schumer）和其他议员曾呼吁该公司支付每位受影响的用户110美元更换护照。 舒默说：“现在，时间紧迫，要把顾客面临的风险降到最低。要做到这一点，一个办法就是申请一个新护照，这样让小偷更难描绘出完整的身份。万豪必须立即亲自通知面临最大安全风险的客户，然后为这些人支付费用，以便在他们提出申请时获得新护照和新号码。” 安全专家表示，在最坏的情况下，护照失窃可能会造成更大的安全危机，让恶意分子制造假护照进入美国。安全平台OpenVPN的首席执行官弗朗西斯-丁哈（Francis Dinha）表示，黑客可以利用从护照上获取的数据开立金融账户。 丁哈说：“一定要更改密码，设置双重身份验证，密切关注你的所有财务记录。在确定信息安全之前，你甚至可能会考虑冻结信贷。” 安全专家表示，考虑到万豪遭遇的黑客攻击和近年来发生的其他攻击的规模，大多数消费者应该考虑冻结信贷，作为一种安全防范措施，即使他们认为自己没有受到影响。 在2018年9月做出改变后，冻结信贷现在可以通过包括Equifax Experian和TransUnion在内的三大主要信贷机构免费获得。 凯维林市场营销副总裁戴维-金斯伯格（David Ginsburg）表示，万豪事件突显出，需要提供比护照和社保号码更安全的个人身份识别选项。凯维林是一家位于加州圣克拉拉的网络安全风险姿态和合规提供商。 他表示：“我们需要最终解决这样一个事实，即所有个人数据都处于风险之中，黑客将利用这些数据建立完整的个人档案，这些个人档案可能会被转化为现金。我并不是唯一一个呼吁用下一代标识符来取代大部分标识符的人。” 特朗普政府提出用一个更安全的标识符取代1936年引入的社会保险号。总统特别助理、白宫网络安全协调员罗布-乔伊斯（Rob Joyce）在2017年表示，这个社会安全号码“已经过时了”。 安全公司Balbix的马克-韦纳（Mark Weiner）表示，与此同时，任何受黑客攻击影响的人都应该尽快更改护照号码。 他说：“有了你的护照号码、姓名和出生日期，任何人都可以报失现有的护照，申请新护照，用它作为身份证明，开立新的银行账户或进入现有账户。你的护照号码，连同你的姓名和出生日期，是你身份的一个不可分割的部分，它可能会在错误的人手中造成巨大的伤害。”[详情]

　　 日前，万豪国际集团发布公告，称旗下喜达屋的客户预订数据库发生信息泄露。此前，万豪刚因卫生问题被微博大V点名。自收购喜达屋后，万豪成为全球最大的酒店集团，但在发展壮大的同时，屡屡曝出管理问题，引起各方关注。 因客户信息泄露遭消费者索赔125亿美元 11月30日，万豪国际集团发布公告，称旗下喜达屋的客户预订数据库发生信息泄露。据最新进展，在官方宣布之后数小时，万豪集团便遭遇了一起消费者集体诉讼，索赔金额达到125亿美元。 据了解，在2018年9月8日，万豪集团收到了内部安全工具发布的警报。万豪集团在随后的调查中发现，自2014年起，便有第三方对喜达屋的网络进行未经授权的访问。目前，未经授权的第三方已复制并加密了某些信息，且采取措施试图将这些信息移出。11月19日，万豪将该信息解密，确定这部分信息来自于喜达屋的宾客预订数据库。这也就意味着，黑客在4年前就已经开始入侵喜达屋预订数据库。 据万豪集团的官方信息，曾在喜达屋酒店预订的客人的个人信息目前或被泄露，而涉及人数最多将达到约5亿人。这些个人信息包括姓名、邮寄地址、电话号码、电子邮件地址、护照号码、出生日期等等，还包括部分支付卡号和支付卡到期日期。据称，要解密支付卡号码仍需要两项密钥，但万豪方面也不排除这两个密钥都已被第三方掌握的可能性。 万豪国际集团首席执行官Arne Sorenson表示：“我们在尽一切努力为客人提供支持，将汲取事件教训，未来不断改进。”据了解，万豪目前正在逐渐淘汰喜达屋的系统，并加速提升网络安全的相关工作。消息公布后，万豪国际周五开盘跌幅一度达到6.64%。 旗下多家酒店被曝卫生问题 除了此次信息泄露，万豪国际集团近年来也时常成为舆论中心。其中，万豪旗下酒店的卫生问题在日前刚刚被曝光过。 2017年9月，评测机构蓝莓评测曝光5家五星级酒店卫生问题。其中，同属于万豪旗下的北京JW万豪酒店和北京W酒店，均未更换床上用品，也并未彻底清洁浴缸和马桶圈，北京JW万豪酒店也未清洁漱口杯。消息一经曝光，立刻引发多方争议。随后，北京市旅游委联合北京旅游行业协会，共同约谈了这5家酒店。 今年11月14日，微博大V“花总丢了金箍棒”视频曝光了14家五星级酒店卫生乱象。其中，万豪集团旗下的贵阳喜来登、南昌喜来登、上海世茂皇家艾美酒店、上海浦东丽思卡尔顿酒店被曝保洁违规操作。若计入由万豪运营的上海宝格丽酒店，那么与万豪相关的酒店，占被曝光酒店总数的36%，也是视频中被曝光次数最多的酒店集团。 在事发后，涉事的万豪旗下酒店纷纷致歉，但挽回消费者的信任仍是一个长期过程。无论是卫生问题还是信息泄露，不难发现在这几次事件中，万豪和喜达屋总是“结伴”出现。而此次信息泄露，也是喜达屋“捅出的篓子”。这让人不禁要问，自2016年万豪斥巨资完成收购喜达屋后，目前二者究竟磨合得怎样？ 全球最大酒店集团正处在整合过渡期 2015年，万豪宣布以122亿美元收购喜达屋。收购完成后，万豪成为全球最大的酒店集团。2016年，万豪完成对喜达屋的收购。目前，万豪在全球130个国家和地区拥有超过6700家酒店，包括直接经营酒店、特许经营酒店和授权分时度假酒店，并拥有30个酒店品牌。 在收购酒店后续的整合过程中，双方会员系统的打通成为重要内容。今年8月，万豪宣布旗下三大常客计划万豪礼赏、丽思卡尔顿礼赏及SPG俱乐部正式整合为统一的常客计划。但除了会员系统，有业内人士指出，预订系统也是二者整合的重要环节，并且整合难度很大。 “会员系统有各种品牌的积分及互换，比较复杂；预订系统涉及的环节和处理也不一样，因此整合难度很大。”华美顾问机构首席知识官赵焕焱认为，“整合过程也是信息安全的危险时期，因此与此次信息泄露不无关系。” 此次陷入信息泄露泥淖的，正是喜达屋的预订数据库，而万豪在今年9月间才发现被入侵一事，目前也正在着手淘汰喜达屋的系统。由此可知，万豪与喜达屋的整合，仍在“进行时”。 与此同时，随着集团规模的扩大和不断发展，对旗下酒店的管理也不容忽视。万豪和喜达屋双双被曝卫生问题，也可看出对服务质量的疏忽。“集团规模大，失误的可能性也相应加大，同时也反映了重视发展的同时忽视了管理。”赵焕焱表示。 频频布局，急需重建消费者信任 目前，万豪在国内的布局仍在不断深入，并由线下发展至线上。去年8月，万豪宣布与阿里巴巴在华成立合资公司，该合资公司将管理万豪国际在飞猪上的万豪国际集团旗舰店，直接面向阿里巴巴的用户进行市场推广，并可连接万豪国际忠诚计划与阿里巴巴忠诚计划。万豪国际方面称，万豪国际全球酒店业主和特许经营商，将通过合资公司的平台有效降低酒店分销成本。 今年4月，万豪宣布在旗下酒店陆续推出“信用住”。8月，万豪国际宣布万豪国际常客计划与宝马中国进一步推进大中华区市场战略合作。9月，万豪国际集团上线微信餐饮小程序。不过，在万豪对华布局不断深入同时，类似问题的曝光也在影响其发展脚步。 “万豪这样顶级的酒店集团，也发生如此严重的客户信息泄露，说明酒店行业在后台支持方面、特别是信息安全措施方面存在问题。对照银行证券、大型购物网站，酒店行业加强信息安全的工作任重而道远。”赵焕焱表示。 此外，今年年初，万豪被曝在一封发给中国会员的邮件中，将西藏和港澳台地区列为了“国家”。事件一经曝光，立刻引发广泛关注。随后，上海市网信办责令万豪国际集团对官方中文网站、中文版App自行关闭一周，开展全面自查整改，彻底清理违法违规信息，及时向社会公布对事件的调查结果和处置情况。有业内人士表示，这令万豪在若干地区的发展一度受到明显影响。一系列问题曝光下，万豪要重新建立消费者信任，同样任重道远。 本版采写/新京报记者 郑艺佳 本版创意图片/新京报记者 王远征[详情]

　　因信息泄露住客向万豪提集体诉讼，索赔金额高达125亿美元      澎湃新闻记者 陶宁宁 来源：澎湃新闻 万豪国际集团旗下喜达屋酒店客房预订数据库被黑客入侵，多达5亿人次的信息可能遭到泄露。根据外媒报道，两名美国俄勒冈州客户就正式向万豪集团提起诉讼，几个小时后马里兰州又有一起针对万豪的诉讼，索赔金额则超过了100亿美元。 外媒报道透露，马里兰州诉讼中的原告没有具体说明他们向万豪酒店寻求的赔偿金额，不过，俄勒冈州诉讼中的原告希望万豪赔偿125亿美元（约合人民币855亿元）。相当于5亿被盗万豪用户中每人得到25美元的赔偿。原告解释称，他们认为这25美元是用户因万豪酒店遭黑客攻击，取消信用卡所需时间的最低等额赔偿金。 有媒体报道称，喜达屋客服人员就索赔一事回应称，因信息泄露而造成的经济损失，客户可以将事件经过、收据等材料寄到万豪美国总部，申请索赔。万豪总部会有相关工作人员进行审核。 不过，澎湃新闻记者就此回应内容询问万豪酒店集团公关人员时，万豪酒店集团并未就索赔细节作出任何回复，仅仅是重申了此前其对于客户信息泄露一事的回应。 万豪国际集团方面称，已向相关执法部门报告此事件，并将继续配合执法部门的调查，并已开始通知相关监管机构。 11月30日，万豪国际集团在官方微博账号上公布了信息泄露一事，值得注意的是，其中有3.27亿人的信息包括，姓名、地址、电话、生日、护照号码、预定日期等，甚至部分人的支付卡号和支付卡有效期等同时遭到泄露，但万豪并未说明黑客成功访问了其中多少用户的财务数据。更有消息指出，在过去四年中入住万豪喜达屋品牌酒店的客人都可能受到影响。 喜达屋旗下品牌包括： W酒店、瑞吉酒店、喜来登酒店及度假村、威斯汀酒店及度假村、源宿酒店、雅乐轩酒店、豪华精选酒店、臻品之选酒店、艾美酒店及度假村、福朋喜来登酒店及设计酒店。喜达屋分时度假酒店也包含在其中。 （本文来自于澎湃新闻） [详情]

　　北京青年报-北青网12月4日消息，万豪国际旗下喜达屋酒店5亿名客户信息泄露事件引发社会关注[详情]

　　盘和林 据媒体报道，万豪国际集团因数据被黑客攻击的事件，可能会被处以数百万美元的国家罚款，该黑客攻击时间将很可能影响5亿名客人，其中约3.27亿人的护照号码、电子邮件和其他个人数据可能被窃取，信用卡和支付卡数据也可能被盗。 在大数据时代，陷入“隐私漩涡”的企业并不在少数。除了万豪以外，优步曾因2016年的一起数据泄露被处罚1.48亿美元；苹果也因为个人隐私问题，在印度市场的开拓中遇到了阻碍，最终向印度电信网络监管机构TRAI妥协等。 不可否认，大数据时代给我们带来了很多便利，然而，也给公众的个人隐私带来了不小的威胁，根据第41次《中国互联网网络发展状况统计报告》，在互联网安全方面，个人隐私泄露的问题是发生频率最高的，占据了27.1%。就2018年上半年来说，网民被非法软件或网站泄露个人信息的案件就有3000余起，同比2017年度增长了1.5%。 大数据时代之所以会造成个人隐私安全问题，关键在于人们已经失去了对自身隐私数据的专有权。个人的行迹、购买记录都会被有关机构所拥有，自身数据早已不仅仅属于自己。 同时，众多企业通过用户使用其APP的过程，都在用户无意间获取到了大量的隐私数据，真可谓防不胜防。 根据2017年9月江苏省消费者协会的现场检测结果，在手机中下载100个APP，其中有79个可以获得位置权限，23个可以直接向联系人发送信息，14个可以监听电话，96个可以发送彩信，这些看似提供便捷服务的APP却成为了个人隐私的“窃贼”，由此带来了各种针对性广告推送，推销、中介、贷款等骚扰电话、精心准备的电信诈骗、公民信息的肆意倒卖等。 难以想象，你的一举一动都被他人了如指掌，这就如同玻璃窗里的试验品，被众多人研究与分析，这是非常骇人的。所以，笔者认为，在当前这个大数据时代，我们在享受其所带来便利的同时，更应该注重保护个人隐私。 首先，应当注重自己隐私的专有权，提升隐私保护意识。根据2016年中国发布的《个人信息安全和隐私保护报告》，证件复印件、快递单、手机等是隐私泄露的重要载体，高达55%的人将证件给其他机构时，并不清楚其他用途，近一半的调查者丢弃快递单时并不会加以处理，近四分之一的人在更换、注销手机号码时，并未解绑微信、银行卡等，对于安装APP时，关于应用权限请求，大部分人也并不会详细阅读，往往会不假思索地同意。这些行为都成为滋生窃取个人信息行为的沃土。 其次，与其他国家相比，我国法律体系对于个人隐私权的保护不够重视也不够全面。虽然我国出台了类似《关于加强网络信息保护的决定》、《电信和互联网用户个人信息保护规定》等规章，但是，我们尚没有一部专门保护个人信息与隐私保护的法律，这一点与发达国家还有一定的差距，国家应该继续提高对于个人隐私权的重视程度，尽快出台相应针对个人隐私权利保护的法律。 最后，企业作为当前个人数据（个人隐私）的使用者和获利者，须切实承担其社会责任与义务，坚守道德与法律底线。 企业在获取个人隐私并且用于商业用途时，应当让消费者充分知悉，将个人隐私的用途、受益群体明确标红，引起消费者的重视。而且，要做好公众个人隐私的保护，优步泄密等案件都在警醒企业对于消费者信息保护的重要性，企业应当完善相应的数据保护机制，提升员工技术水平，降低信息泄露风险。 当然，保护个人隐私并不意味着公众的一切信息都不允许他人获得，这不利于群众享受科技发展的便利，也无利于社会向前发展。公众实际上更在意的是知情权，而不是对个人隐私的绝对保护。据有关机构曾经调查，不少群众表示，他们愿意将数据共享给运营商，因为这样能给他们提供更为便捷和针对性的服务，只是在此之前，需要知悉自己隐私将会被用到何处，被那些机构与个人使用。 窃以为，个人隐私是一个人基本的人格权利，然而，保护隐私并不是保护个人隐私的绝对专有权，而是在保证隐私所有者知情权的情况下，根据个人意愿针对性、差异性地保护不同层面的隐私，才能在这个大数据时代让群众更好地享受到科技发展的红利，还能够得到个人隐私权的保护。 （作者系中国财政科学研究院应用经济学博士后）[详情]

　　信息为何屡遭泄露？酒店担何责？万豪背后的安全难题  来源：独角鲸科技 亦丹 泽炎 金蕾  专家称，多数酒店没有强力防范黑客的手段，目前国内法律法规对酒店泄露客人信息的惩罚力度不大。 ▲当地时间2018年11月30日，美国芝加哥，万豪国际集团在11月30日宣布其喜达屋客户预订数据库遭黑客攻击数小时后，遭遇了一起消费者集体诉讼。 11月30日，万豪国际集团在官方微博账号上表示，其公司旗下喜达屋酒店的一个客房预订数据库被黑客入侵，多达5亿人次的详细信息可能遭到泄露。 万豪方面表示，一项集团内部的调查发现，自2014年以来，一名攻击者一直都能够访问该集团喜达屋（Starwood）部门的客户预订数据库，数据库中包含约5亿名客人信息，其中高达3.27亿人次的泄露信息包括名字、邮寄地址、电话号码、护照号码、生日、到达和离店信息等。 目前万豪国际已经遭遇了消费者的集体诉讼。 截至美国东部时间11月30日收盘，万豪国际酒店股价下跌5.59%。万豪集团对新京报独角鲸科技（ID：dujiaojingkeji）表示，目前对于该事件是否波及中国酒店及中国顾客仍在调查当中。 万豪酒店信息泄露事件距离8月末发生的华住集团5亿名用户数据信息泄露仅仅过了3个月。为何酒店客人信息频频被曝泄露丑闻？网络安全专家张百川表示，目前很多酒店都有在线订房业务，这里的安全问题往往比较容易暴露出来，被黑客利用，但多数酒店却没有强有力的防范、对抗黑客的手段。 在西安邮电大学副教授任方看来，对于酒店泄露客人信息，具体泄露到什么程度算违法，应该怎么处罚，都不好界定。另一方面，如果要求酒店提高安全性，则需要专业的技术，会造成管理系统的复杂化，还需要专业的技术和管理人员，这将提高酒店的成本，这肯定是大多数商家不愿意看到的。对此，将来需要增加这一块的立法，以及加强监管。 腾讯安全云鼎实验室首席架构师李滨认为，酒店和其他航旅服务如航空运输等具备强关联性和相似性，安全问题可能会相互影响和蔓延，整个航空旅行业的信息安全和公众的安全利益息息相关，需要引起重视和注意。 分析认为，目前很多酒店都有在线订房业务，这里的安全问题比较容易暴露出来，被黑客利用。此外，高端酒店的客户数据被利用来做灰产、黑产的价值更高一些。 为何酒店客人信息屡遭泄露？    酒店防御黑客手段大多较为初级 根据万豪国际发布的声明，自2014年起，即存在第三方对其旗下喜达屋网络未经授权的访问，该第三方“已复制并加密了某些信息，并采取措施试图将该信息移出”。2018年11月19日，万豪国际解密该信息发现，确定信息内容来自喜达屋宾客预订数据库。 “这属于APT，即高级可持续性威胁攻击。”12月2日，张百川对新京报独角鲸科技（ID：dujiaojingkeji）表示，“黑客入侵后不破坏数据，只潜伏，以获取更多的、实时的数据，谋取更深层次的利益。” 据了解，黑客入侵系统后，可以在服务器里安置“后门”，达到源源不断获取最新数据的目的。 而对于最初黑客是如何“入侵”喜达屋系统的，任方认为，目前针对企业数据库的攻击手段很多，简单的如弱口令暴力破解、SQL注入等，还可以利用数据库本身的漏洞甚至是人工窃取等方式获得数据库的数据。根据所使用的数据库类型和管理系统的安全性不同，攻击手段不同。 在张百川看来，由于万豪国际在声明中并没有给出更多资讯，所以无法知晓黑客从何入侵，可能是订房系统。“目前很多酒店都有在线订房业务，这里的安全问题往往比较容易暴露出来，被黑客利用。据我所知，多数酒店没有强有力的防范、对抗黑客的手段。有的会买传统防火墙，但传统防火墙对新型攻击几乎无能为力。Web安全、邮件安全、数据库安全、WiFi安全，都是问题。” 另一方面，相比较为初级的酒店信息防护，酒店客户数据却“价值连城”。 此前，华住集团泄露的5亿条客户信息在暗网上以37万元的价格“打包”出售。在曾经做过房地产销售的罗先生看来，酒店客户信息的价值远不止此。“目前黑市上房产业主的电话号码可以卖到2000元一万条，而此次泄露的信息更多，价值更大”。罗先生说，最简单的，如果信息泄露涉及中国的客户，黑客将数据中消费金额高、住址为北上广等一线城市的人筛选出来，可以作为高端人士数据在市场上买卖。此外，由于酒店有开房记录和家庭住址这些敏感信息，也有可能被诈骗分子利用。 张百川表示，高端酒店的客户往往“有钱”，所以被利用来做灰产、黑产的价值更高一些。 腾讯安全云鼎实验室首席架构师李滨表示，数据安全的威胁不仅可能来自于外部的黑客攻击，更多可能来自于内部人员的疏忽大意和蓄意越权访问，以及内外部业务系统的关联接口。 数据泄露有哪些途径？    内外部威胁、第三方数据处理可能泄露信息 李滨对新京报独角鲸科技（ID：dujiaojingkeji）表示，一般而言，数据在三个途径上有泄露的风险：外部威胁、内部威胁、第三方数据处理。 李滨认为，外部威胁包括来自互联网和企业外部的黑客攻击等行为。在这个攻击途径上，黑客对数据系统的攻击主要是利用开发运维人员因为一时疏忽而暴露在互联网上的数据访问接口和访问凭据对数据进行违规访问；或者利用应用系统编程的漏洞，例如SQL注入或XSS脚本绕过数据库的认证机制越权访问信息。 内部威胁主要来源于企业内部员工的无意或蓄意的违规访问数据造成的信息泄露，根据IBM2018年威胁情报指数的报道，2017年内发生的数据泄露事件，60%和内部原因有关。来源于企业内部的数据安全攻击又分为两类情况，一类是内部恶意员工利用合法的权限或非法获取他人的权限，进行数据访问和窃取。当前的经济环境中对于高价值的企业数据来说，商业间谍和“内鬼”造成的数据失窃事件频率越来越高，加强内部安全管控值得注意。 另一类情况是由于企业内部人员的一时疏忽，在日常IT使用过程中，业务终端被导入木马，或企业的内部业务系统因为应用漏洞被黑客通过近场进行内部攻击，然后进一步用这些设备作为跳板，来获取系统内的访问权限。现在随着移动办公、无线网络等新技术的广泛应用，原来传统企业概念中的物理安全边界并不可靠，来源于内部的访问也不一定就安全可靠，内网系统和用户终端的安全防护需要考虑，用户和关键数据的访问行为也需要持续监控。 同时，值得注意的途径还有企业与第三方的数据交换和外包。现在很多企业会进行数据处理的外包，或因业务连接而进行数据的交换。在与第三方进行数据交换和处理的过程中安全保护措施的疏忽也会是一个重要的直接或间接泄露途径，2018年初Facebook5000万用户数据泄露事件就是第三方数据处理因素造成的典型案例。 对于酒店业数据库保护，李滨认为，从企业层面来说，要做好数据安全的防范至少要做到识别关键数据，做好数据分类分级，清晰地了解企业内的关键数据和价值，知晓数据的位置、边界和关系，并制定针对性的保护策略，以及持续监控，主动发现，对网络边界、业务终端和数据库的异常访问行为进行持续性监控，及时分析和处理。此外，还要做到对外和对内的安全防控，做到关键数据保护等。 有律师认为，如果酒店泄露客人信息，应该追究酒店的责任。但专家认为，目前的法律条款尚不足以提高酒店管理者对信息安全保护问题的重视。需要增加立法和加强监管。 客人信息泄露是否追究酒店责任？    国内酒店信息泄露问责力度欠缺 律师杨继先认为，如果酒店泄露客人的信息，应该追究酒店的责任，因为酒店有保障客人信息安全的义务。 杨继先说，《消费者权益保护法》规定：在入住并且提供个人信息时客户就已经与酒店形成了合同关系，表面上看两者之间只是住客支付费用，酒店提供住处，但实际上还有一些基于这个合同而产生的附加条件，其中就包括住客提供的个人隐私信息应该得到酒店的保护。假如因为信息泄露而给消费者带来损失，酒店则应承担民事赔偿责任。 公安部发布的《旅馆业治安管理条例》也对酒店住客入住、监控、信息安全等做出了详细规定。其中明确指出，旅馆及其工作人员，不得向任何单位和个人提供住宿人员相关信息和视频监控资料。若向有关部门、单位或个人提供住宿人员相关的情况应当进行登记。 但在任方看来，目前的法律条款尚不足以提高酒店管理者对信息安全保护问题的重视。 “目前，国内法律法规对酒店泄露客人信息的惩罚力度并不大，我没有听说哪一家酒店或者服务性公司因为这类事受到过很大的处罚。”任方说，“信息安全问题这几年突然集中式爆发，各方面都没有做好准备，服务行业从业者都应该提高安全服务意识，但他们往往做不到。” 任方认为，如果要求酒店提高安全性，则需要专业的技术，会造成管理系统的复杂化，还需要专业的技术和管理人员，这将提高酒店的成本，这肯定是大多数商家不愿意看到的。对此，将来需要增加这一方面的立法，以及加强监管。 当11月30日万豪国际信息泄露事件曝光后不久，Murphy等诉讼集团就代表消费者对万豪国际提起了集体诉讼。诉讼指出，万豪国际疏于处理客户数据，且“等了太久才通知他们”。诉讼称，万豪提出的一年信用监控计划是不够的，因为它无法保护客人的个人信息免受长期威胁。 同济大学法学教授金泽刚认为，在美国，如果有大公司的不当行为对公众造成损失，会有律师事务所主动联系受害者，然后提起集体诉讼，受害者只需签字授权即可。这可资借鉴。就当下看，若大量住客信息泄露的事件发生在我国，受害者如何维权，律师如何介入并不明晰。这已被部分外国公司在发生损害消费者利益事件后，对中外消费者持明显不同的两种态度所印证。鉴于此，如何利用好消费者诉讼的方式对此形成制衡，需要继续探索。 [详情]

　　万豪3亿客户数据被窃取 企业使用个人数据须承担责任 盘和林 据媒体报道，万豪国际集团因数据被黑客攻击的事件，可能会被处以数百万美元的国家罚款，该黑客攻击时间将很可能影响5亿名客人，其中约3.27亿人的护照号码、电子邮件和其他个人数据可能被窃取，信用卡和支付卡数据也可能被盗。 在大数据时代，陷入“隐私漩涡”的企业并不在少数。除了万豪以外，优步曾因2016年的一起数据泄露被处罚1.48亿美元；苹果也因为个人隐私问题，在印度市场的开拓中遇到了阻碍，最终向印度电信网络监管机构TRAI妥协等。 不可否认，大数据时代给我们带来了很多便利，然而，也给公众的个人隐私带来了不小的威胁，根据第41次《中国互联网网络发展状况统计报告》，在互联网安全方面，个人隐私泄露的问题是发生频率最高的，占据了27.1%。就2018年上半年来说，网民被非法软件或网站泄露个人信息的案件就有3000余起，同比2017年度增长了1.5%。 大数据时代之所以会造成个人隐私安全问题，关键在于人们已经失去了对自身隐私数据的专有权。个人的行迹、购买记录都会被有关机构所拥有，自身数据早已不仅仅属于自己。 同时，众多企业通过用户使用其APP的过程，都在用户无意间获取到了大量的隐私数据，真可谓防不胜防。 根据2017年9月江苏省消费者协会的现场检测结果，在手机中下载100个APP，其中有79个可以获得位置权限，23个可以直接向联系人发送信息，14个可以监听电话，96个可以发送彩信，这些看似提供便捷服务的APP却成为了个人隐私的“窃贼”，由此带来了各种针对性广告推送，推销、中介、贷款等骚扰电话、精心准备的电信诈骗、公民信息的肆意倒卖等。 难以想象，你的一举一动都被他人了如指掌，这就如同玻璃窗里的试验品，被众多人研究与分析，这是非常骇人的。所以，笔者认为，在当前这个大数据时代，我们在享受其所带来便利的同时，更应该注重保护个人隐私。 首先，应当注重自己隐私的专有权，提升隐私保护意识。根据2016年中国发布的《个人信息安全和隐私保护报告》，证件复印件、快递单、手机等是隐私泄露的重要载体，高达55%的人将证件给其他机构时，并不清楚其他用途，近一半的调查者丢弃快递单时并不会加以处理，近四分之一的人在更换、注销手机号码时，并未解绑微信、银行卡等，对于安装APP时，关于应用权限请求，大部分人也并不会详细阅读，往往会不假思索地同意。这些行为都成为滋生窃取个人信息行为的沃土。 其次，与其他国家相比，我国法律体系对于个人隐私权的保护不够重视也不够全面。虽然我国出台了类似《关于加强网络信息保护的决定》、《电信和互联网用户个人信息保护规定》等规章，但是，我们尚没有一部专门保护个人信息与隐私保护的法律，这一点与发达国家还有一定的差距，国家应该继续提高对于个人隐私权的重视程度，尽快出台相应针对个人隐私权利保护的法律。 最后，企业作为当前个人数据（个人隐私）的使用者和获利者，须切实承担其社会责任与义务，坚守道德与法律底线。 企业在获取个人隐私并且用于商业用途时，应当让消费者充分知悉，将个人隐私的用途、受益群体明确标红，引起消费者的重视。而且，要做好公众个人隐私的保护，优步泄密等案件都在警醒企业对于消费者信息保护的重要性，企业应当完善相应的数据保护机制，提升员工技术水平，降低信息泄露风险。 当然，保护个人隐私并不意味着公众的一切信息都不允许他人获得，这不利于群众享受科技发展的便利，也无利于社会向前发展。公众实际上更在意的是知情权，而不是对个人隐私的绝对保护。据有关机构曾经调查，不少群众表示，他们愿意将数据共享给运营商，因为这样能给他们提供更为便捷和针对性的服务，只是在此之前，需要知悉自己隐私将会被用到何处，被那些机构与个人使用。 窃以为，个人隐私是一个人基本的人格权利，然而，保护隐私并不是保护个人隐私的绝对专有权，而是在保证隐私所有者知情权的情况下，根据个人意愿针对性、差异性地保护不同层面的隐私，才能在这个大数据时代让群众更好地享受到科技发展的红利，还能够得到个人隐私权的保护。 （作者系中国财政科学研究院应用经济学博士后）[详情]

　　 万豪酒店数据库遭黑客入侵 5亿信息遭泄露 原标题：万豪酒店信息泄露 专家：多数酒店无强力防范黑客手段 11月30日，万豪国际集团在官方微博账号上表示，其公司旗下喜达屋酒店的一个客房预订数据库被黑客入侵，多达5亿人次的详细信息可能遭到泄露。 万豪方面表示，一项集团内部的调查发现，自2014年以来，一名攻击者一直都能够访问该集团喜达屋（Starwood）部门的客户预订数据库，数据库中包含约5亿名客人信息，其中高达3.27亿人次的泄露信息包括名字、邮寄地址、电话号码、护照号码、生日、到达和离店信息等。 目前万豪国际已经遭遇了消费者的集体诉讼。 截至美国东部时间11月30日收盘，万豪国际酒店股价下跌5.59%。万豪集团对新京报记者表示，目前对于该事件是否波及中国酒店及中国顾客仍在调查当中。 万豪酒店信息泄露事件距离8月末发生的华住集团5亿名用户数据信息泄露仅仅过了3个月。为何酒店客人信息频频被曝泄露丑闻？网络安全专家张百川表示，目前很多酒店都有在线订房业务，这里的安全问题往往比较容易暴露出来，被黑客利用，但多数酒店却没有强有力的防范、对抗黑客的手段。 在西安邮电大学副教授任方看来，对于酒店泄露客人信息，具体泄露到什么程度算违法，应该怎么处罚，都不好界定。另一方面，如果要求酒店提高安全性，则需要专业的技术，会造成管理系统的复杂化，还需要专业的技术和管理人员，这将提高酒店的成本，这肯定是大多数商家不愿意看到的。对此，将来需要增加这一块的立法，以及加强监管。 腾讯安全云鼎实验室首席架构师李滨认为，酒店和其他航旅服务如航空运输等具备强关联性和相似性，安全问题可能会相互影响和蔓延，整个航空旅行业的信息安全和公众的安全利益息息相关，需要引起重视和注意。 1 为何酒店客人信息屡遭泄露？ 酒店防御黑客手段大多较为初级 Q：分析认为，目前很多酒店都有在线订房业务，这里的安全问题比较容易暴露出来，被黑客利用。此外，高端酒店的客户数据被利用来做灰产、黑产的价值更高一些。 根据万豪国际发布的声明，自2014年起，即存在第三方对其旗下喜达屋网络未经授权的访问，该第三方“已复制并加密了某些信息，并采取措施试图将该信息移出”。2018年11月19日，万豪国际解密该信息发现，确定信息内容来自喜达屋宾客预订数据库。 “这属于APT，即高级可持续性威胁攻击。”12月2日，张百川对新京报记者表示，“黑客入侵后不破坏数据，只潜伏，以获取更多的、实时的数据，谋取更深层次的利益。” 据了解，黑客入侵系统后，可以在服务器里安置“后门”，达到源源不断获取最新数据的目的。 而对于最初黑客是如何“入侵”喜达屋系统的，任方认为，目前针对企业数据库的攻击手段很多，简单的如弱口令暴力破解、SQL注入等，还可以利用数据库本身的漏洞甚至是人工窃取等方式获得数据库的数据。根据所使用的数据库类型和管理系统的安全性不同，攻击手段不同。 在张百川看来，由于万豪国际在声明中并没有给出更多资讯，所以无法知晓黑客从何入侵，可能是订房系统。“目前很多酒店都有在线订房业务，这里的安全问题往往比较容易暴露出来，被黑客利用。据我所知，多数酒店没有强有力的防范、对抗黑客的手段。有的会买传统防火墙，但传统防火墙对新型攻击几乎无能为力。Web安全、邮件安全、数据库安全、WiFi安全，都是问题。” 另一方面，相比较为初级的酒店信息防护，酒店客户数据却“价值连城”。 此前，华住集团泄露的5亿条客户信息在暗网上以37万元的价格“打包”出售。在曾经做过房地产销售的罗先生看来，酒店客户信息的价值远不止此。“目前黑市上房产业主的电话号码可以卖到2000元一万条，而此次泄露的信息更多，价值更大”。罗先生说，最简单的，如果信息泄露涉及中国的客户，黑客将数据中消费金额高、住址为北上广等一线城市的人筛选出来，可以作为高端人士数据在市场上买卖。此外，由于酒店有开房记录和家庭住址这些敏感信息，也有可能被诈骗分子利用。 张百川表示，高端酒店的客户往往“有钱”，所以被利用来做灰产、黑产的价值更高一些。 2 数据泄露有哪些途径？ 内外部威胁、第三方数据处理可能泄露信息 Q：腾讯安全云鼎实验室首席架构师李滨表示，数据安全的威胁不仅可能来自于外部的黑客攻击，更多可能来自于内部人员的疏忽大意和蓄意越权访问，以及内外部业务系统的关联接口。 李滨对新京报记者表示，一般而言，数据在三个途径上有泄露的风险：外部威胁、内部威胁、第三方数据处理。 李滨认为，外部威胁包括来自互联网和企业外部的黑客攻击等行为。在这个攻击途径上，黑客对数据系统的攻击主要是利用开发运维人员因为一时疏忽而暴露在互联网上的数据访问接口和访问凭据对数据进行违规访问；或者利用应用系统编程的漏洞，例如SQL注入或XSS脚本绕过数据库的认证机制越权访问信息。 内部威胁主要来源于企业内部员工的无意或蓄意的违规访问数据造成的信息泄露，根据IBM2018年威胁情报指数的报道，2017年内发生的数据泄露事件，60%和内部原因有关。来源于企业内部的数据安全攻击又分为两类情况，一类是内部恶意员工利用合法的权限或非法获取他人的权限，进行数据访问和窃取。当前的经济环境中对于高价值的企业数据来说，商业间谍和“内鬼”造成的数据失窃事件频率越来越高，加强内部安全管控值得注意。 另一类情况是由于企业内部人员的一时疏忽，在日常IT使用过程中，业务终端被导入木马，或企业的内部业务系统因为应用漏洞被黑客通过近场进行内部攻击，然后进一步用这些设备作为跳板，来获取系统内的访问权限。现在随着移动办公、无线网络等新技术的广泛应用，原来传统企业概念中的物理安全边界并不可靠，来源于内部的访问也不一定就安全可靠，内网系统和用户终端的安全防护需要考虑，用户和关键数据的访问行为也需要持续监控。 同时，值得注意的途径还有企业与第三方的数据交换和外包。现在很多企业会进行数据处理的外包，或因业务连接而进行数据的交换。在与第三方进行数据交换和处理的过程中安全保护措施的疏忽也会是一个重要的直接或间接泄露途径，2018年初Facebook5000万用户数据泄露事件就是第三方数据处理因素造成的典型案例。 对于酒店业数据库保护，李滨认为，从企业层面来说，要做好数据安全的防范至少要做到识别关键数据，做好数据分类分级，清晰地了解企业内的关键数据和价值，知晓数据的位置、边界和关系，并制定针对性的保护策略，以及持续监控，主动发现，对网络边界、业务终端和数据库的异常访问行为进行持续性监控，及时分析和处理。此外，还要做到对外和对内的安全防控，做到关键数据保护等。 3 客人信息泄露是否追究酒店责任？ 国内酒店信息泄露问责力度欠缺 Q：有律师认为，如果酒店泄露客人信息，应该追究酒店的责任。但专家认为，目前的法律条款尚不足以提高酒店管理者对信息安全保护问题的重视。需要增加立法和加强监管。 律师杨继先认为，如果酒店泄露客人的信息，应该追究酒店的责任，因为酒店有保障客人信息安全的义务。 杨继先说，《消费者权益保护法》规定：在入住并且提供个人信息时客户就已经与酒店形成了合同关系，表面上看两者之间只是住客支付费用，酒店提供住处，但实际上还有一些基于这个合同而产生的附加条件，其中就包括住客提供的个人隐私信息应该得到酒店的保护。假如因为信息泄露而给消费者带来损失，酒店则应承担民事赔偿责任。 公安部发布的《旅馆业治安管理条例》也对酒店住客入住、监控、信息安全等做出了详细规定。其中明确指出，旅馆及其工作人员，不得向任何单位和个人提供住宿人员相关信息和视频监控资料。若向有关部门、单位或个人提供住宿人员相关的情况应当进行登记。 但在任方看来，目前的法律条款尚不足以提高酒店管理者对信息安全保护问题的重视。 “目前，国内法律法规对酒店泄露客人信息的惩罚力度并不大，我没有听说哪一家酒店或者服务性公司因为这类事受到过很大的处罚。”任方说，“信息安全问题这几年突然集中式爆发，各方面都没有做好准备，服务行业从业者都应该提高安全服务意识，但他们往往做不到。” 任方认为，如果要求酒店提高安全性，则需要专业的技术，会造成管理系统的复杂化，还需要专业的技术和管理人员，这将提高酒店的成本，这肯定是大多数商家不愿意看到的。对此，将来需要增加这一方面的立法，以及加强监管。 当11月30日万豪国际信息泄露事件曝光后不久，Murphy等诉讼集团就代表消费者对万豪国际提起了集体诉讼。诉讼指出，万豪国际疏于处理客户数据，且“等了太久才通知他们”。诉讼称，万豪提出的一年信用监控计划是不够的，因为它无法保护客人的个人信息免受长期威胁。 同济大学法学教授金泽刚认为，在美国，如果有大公司的不当行为对公众造成损失，会有律师事务所主动联系受害者，然后提起集体诉讼，受害者只需签字授权即可。这可资借鉴。就当下看，若大量住客信息泄露的事件发生在我国，受害者如何维权，律师如何介入并不明晰。这已被部分外国公司在发生损害消费者利益事件后，对中外消费者持明显不同的两种态度所印证。鉴于此，如何利用好消费者诉讼的方式对此形成制衡，需要继续探索。[详情]

　　万豪3亿客户数据被窃取，企业使用个人数据须承担责任 据媒体报道，万豪国际集团因数据被黑客攻击的事件，可能会被处以数百万美元的国家罚款，该黑客攻击时间将很可能影响5亿名客人，其中约3.27亿人的护照号码、电子邮件和其他个人数据可能被窃取，信用卡和支付卡数据也可能被盗。 在大数据时代，陷入“隐私漩涡”的企业并不在少数。除了万豪以外，优步曾因2016年的一起数据泄露被处罚1.48亿美元；苹果也因为个人隐私问题，在印度市场的开拓中遇到了阻碍，最终向印度电信网络监管机构TRAI妥协等。 不可否认，大数据时代给我们带来了很多便利，然而，也给公众的个人隐私带来了不小的威胁，根据第41次《中国互联网网络发展状况统计报告》，在互联网安全方面，个人隐私泄露的问题是发生频率最高的，占据了27.1%。就2018年上半年来说，网民被非法软件或网站泄露个人信息的案件就有3000余起，同比2017年度增长了1.5%。 大数据时代之所以会造成个人隐私安全问题，关键在于人们已经失去了对自身隐私数据的专有权。个人的行迹、购买记录都会被有关机构所拥有，自身数据早已不仅仅属于自己。 同时，众多企业通过用户使用其APP的过程，都在用户无意间获取到了大量的隐私数据，真可谓防不胜防。 根据2017年9月江苏省消费者协会的现场检测结果，在手机中下载100个APP，其中有79个可以获得位置权限，23个可以直接向联系人发送信息，14个可以监听电话，96个可以发送彩信，这些看似提供便捷服务的APP却成为了个人隐私的“窃贼”，由此带来了各种针对性广告推送，推销、中介、贷款等骚扰电话、精心准备的电信诈骗、公民信息的肆意倒卖等。 难以想象，你的一举一动都被他人了如指掌，这就如同玻璃窗里的试验品，被众多人研究与分析，这是非常骇人的。所以，笔者认为，在当前这个大数据时代，我们在享受其所带来便利的同时，更应该注重保护个人隐私。 首先，应当注重自己隐私的专有权，提升隐私保护意识。根据2016年中国发布的《个人信息安全和隐私保护报告》，证件复印件、快递单、手机等是隐私泄露的重要载体，高达55%的人将证件给其他机构时，并不清楚其他用途，近一半的调查者丢弃快递单时并不会加以处理，近四分之一的人在更换、注销手机号码时，并未解绑微信、银行卡等，对于安装APP时，关于应用权限请求，大部分人也并不会详细阅读，往往会不假思索地同意。这些行为都成为滋生窃取个人信息行为的沃土。 其次，与其他国家相比，我国法律体系对于个人隐私权的保护不够重视也不够全面。虽然我国出台了类似《关于加强网络信息保护的决定》、《电信和互联网用户个人信息保护规定》等规章，但是，我们尚没有一部专门保护个人信息与隐私保护的法律，这一点与发达国家还有一定的差距，国家应该继续提高对于个人隐私权的重视程度，尽快出台相应针对个人隐私权利保护的法律。 最后，企业作为当前个人数据（个人隐私）的使用者和获利者，须切实承担其社会责任与义务，坚守道德与法律底线。 企业在获取个人隐私并且用于商业用途时，应当让消费者充分知悉，将个人隐私的用途、受益群体明确标红，引起消费者的重视。而且，要做好公众个人隐私的保护，优步泄密等案件都在警醒企业对于消费者信息保护的重要性，企业应当完善相应的数据保护机制，提升员工技术水平，降低信息泄露风险。 当然，保护个人隐私并不意味着公众的一切信息都不允许他人获得，这不利于群众享受科技发展的便利，也无利于社会向前发展。公众实际上更在意的是知情权，而不是对个人隐私的绝对保护。据有关机构曾经调查，不少群众表示，他们愿意将数据共享给运营商，因为这样能给他们提供更为便捷和针对性的服务，只是在此之前，需要知悉自己隐私将会被用到何处，被那些机构与个人使用。 窃以为，个人隐私是一个人基本的人格权利，然而，保护隐私并不是保护个人隐私的绝对专有权，而是在保证隐私所有者知情权的情况下，根据个人意愿针对性、差异性地保护不同层面的隐私，才能在这个大数据时代让群众更好地享受到科技发展的红利，还能够得到个人隐私权的保护。 （作者系中国财政科学研究院应用经济学博士后） 责编：任绍敏 （本文来自于第一财经） [详情]

　　新浪科技讯 北京时间12月1日晚间消息，万豪国际酒店集团（Marriott International）近日因顾客数据库泄露而遭遇集体诉讼，索赔金额高达125亿美元。 万豪国际酒店上周五宣布，旗下喜达屋酒店（Starwood Hotel）的一个顾客预订数据库被黑客入侵，可能有约5亿顾客的信息泄露。据悉，黑客入侵早在2014年就已经开始。该消息公布后，万豪国际酒店股价一度下跌逾5%。 随后，美国Geragos & Geragos律师事务所律师本·梅塞拉斯（Ben Meiselas）和Underdog Law法律顾问迈克尔·富勒（Michael Fuller）代表两名原告大卫·约翰逊（David Johnson）和克里斯·哈里斯（Chris Harris）对万豪国际酒店提起集体诉讼，索赔125亿美元。 原告在起诉书中称：“在当今这个数字时代，酒店客户最担忧的是银行卡号码和其他敏感个人信息的安全。而在过去的四年里，有5亿客户原本期望在万豪国际酒店过上舒适无忧的生活，结果却遭遇了历史上最大的数字灾难之一。” 据万豪国际酒店称，这些可能被泄露的信息包括顾客的姓名、通信地址、电话号码、电子邮箱、护照号码、喜达屋VIP客户信息、出生日期、性别和其他一些个人信息。对于部分客户，可能还包括支付卡号码和有效日期等信息，但这些数据是加密的。 125亿美元的索赔金额听起来是一个不小的数字，但也仅相当于5亿潜在被盗用户中每人得到25美元的赔偿。原告认为，这是用户因遭遇黑客攻击而取消信用卡所需时间的最低等额赔偿金。 此外，原告还表示，希望该集体诉讼能够让万豪国际酒店和其他大型跨国连锁酒店能够意识到，尊重顾客隐私意味着要采取所有必要措施来确保用户信息的安全。（李明）[详情]

　　 新浪科技讯 北京时间12月3日下午消息，万豪国际集团表示，在获悉近几周内有大量客户数据被窃取之后，公司很快采取了应对措施。但是网络安全专家称，几年前，万豪就已经错失了预防数据泄露的良机。 上周五，万豪表示旗下喜达屋酒店的预订数据库遭受黑客入侵，其中至多5亿客户的个人信息被窃取。入侵事件发生于2014年，直到今年九月才被获悉。 2015年，喜达屋曾报告了一起小型数据泄露事件，黑客在其部分酒店餐厅和礼品店的POS系统上安装了恶意软件，以收集支付信息。在万豪宣布收购喜达屋四天之后，喜达屋揭露了这一起攻击事件。当时，这桩价值136亿美元的收购交易让万豪成为了全球范围内最大一家酒店公司。 万豪表示2015年的入侵事件不同于周五公开的数据入侵事件，且两者之间并无关联。但是安全专家表示，虽然泄露调查未能发现第二次入侵的例子不在少数，但是倘若当时能全面调查清楚入侵事件，也许就能发现攻击者。但是这些攻击者却选择在其预订系统中又潜伏了三年多之久。 “鉴于万豪掌握的资源，他们本应能够在2015年就将黑客揪出来的。”安全公司Recorded Future Inc的研究人员Andrei Barysevich说道。 “显然，各方都宁愿该事件能早一点被发现。”万豪的发言人在电子邮件中这样回复道，“由于银行卡支付可能存在风险，取证人员已经开始调查处理支付的设备并试图从中获取证据进行追踪。” 发言人拒绝对于2015年的调查情况置评，表示这件事发生在万豪收购喜达屋之前。喜达屋表示当时自己并没有想到那次攻击会影响其客人预订系统。 唯一在规模上能与此次最新揭露的数据窃取事件相提并论的就是2014年以及2013年的雅虎数据泄露事故，分别有5亿以及30亿用户的数据被盗。目前，万豪在业界的主导地位正面临传统酒店行业对手以及像Airbnb等业界新秀带来的威胁，而此次数据泄露事故也将影响万豪的名声。 数据泄露事故被曝出之后，万豪股价在周五下跌5.6%。 周日，万豪仍在梳理此次攻击事件的缘由和影响。它表示自己在9月8日收到了一则安全警告，在11月19日明确黑客已经获取喜达屋预订数据库中信息之后，酒店很快通知了客户以及监管机构。 万豪称黑客也许掌握了大约3.27亿客户的护照号码、出行细节信息，一些情况下信用卡信息、名字以及住址也有可能被泄露。公司周日表示，调查人员发现了一个由黑客创建的文件，文件内容涉及大约1.7亿客户。 万豪在周五开始陆续向客户发送邮件，该流程大约需花费数周时间。一些客户抱怨称自己无法从万豪那里获悉信息是否被泄露的确切消息。周日，万豪表示自己仍在识别第二份文件中的信息，以明确受牵连的客户。 联邦调查局仍在追踪万豪酒店黑客入侵事件，纽约、伊利诺伊州以及马萨诸塞州的检察长已经开始进行调查。 包括弗吉尼亚州参议员Mark Warner以及马萨诸塞州Elizabeth Warren在内的一些民主党人士在周五谴责万豪并呼吁诉诸国内数据泄露法律。“只有当他们自己的职位‘命悬一线’时，他们才会严肃认真地保护我们的数据。”参议员Warren在Twitter上写道。 2014年黑客入侵之时，黑客们正在疯狂窃取“酒店数据”。2015年，他们已经入侵全球各地希尔顿、Trump Hotel Collection、Mandarin Oriental等酒店的系统。 专家表示，入侵者之所以将目标锁定在这些酒店上，那是源于它们掌握了大量信用卡数据并将其存储在电脑上，而这些系统往往因维护需要可以被远程操控，此外酒店行业对于数据方面的保护也并不严谨。“酒店行业一直就没有走在安全措施的前沿。”安全顾问公司Bishop Fox的合伙人Vincent Liu说道。 其他一些转折性的数据泄露事件——Target Corp．以及索尼影视娱乐有限公司在2013年和2014先后遭黑客入侵——迅速引起了全球范围内大家的关注，很快整个行业都开始着力解决计算机安全隐患。Liu补充说道：“也许此次万豪事件能让酒店行业内的董事会成员开始在会议上认真考虑这个问题。” 尽管这些事件促使企业开始在计算机安全上投入更多资金，但是国会并未采取任何实质性的举动。 2011年，喜达屋完成了代号为“瓦尔哈拉”（Valhalla）、为期10年的预订系统升级项目。公司将利用这一大型集中化数据库负责遍布约100个国家不同品牌下37万个房间的预订和信息存储。 前喜达屋的雇员称，喜达屋完成了多笔收购交易，因而酒店使用的是不同的支付和物业管理系统，这就很难保证全球计算机网络的安全性。 “这确实能引起黑客的兴趣。”为网络保险以及风险管理提供服务的酒店行业顾问Paul West说道。尤其是，这些支付系统很容易被入侵。“这些地方就像是一些景点内的夏威夷风情酒吧，有些时候这些系统根本无人看管。”West说道。 喜达屋当时表示，在2015年发现有黑客入侵时，这些黑客已经在喜达屋的网络中潜伏了长达八个月时间。最初，公司表示旗下有54家酒店被攻击，但两个月之后表示有100多家酒店均遭黑客入侵。 喜达屋在2015年11月发表的声明中表示自己已经聘请了外部取证专家来“全面调查”数据入侵事件，但无证据表明其宾客预订或是会员系统受到影响。“我们希望能让客户相信，我们已经采取了额外的安全措施来预防此类犯罪事件再次发生。”一位高管人员在声明中说道。 万豪称，最新数据入侵事件的攻击者在2014年已经侵入了喜达屋的网络。这些黑客从系统中创建了两个大型数据文件并试图将其从公司的系统中移走。万豪表示自己尚不确定他们是否已经从酒店网络上移除了这些信息。 安全公司以及万豪在周日表示他们尚未发现黑市有在出售被盗数据。这可能意味着黑客无法从万豪的网络上移走被盗数据，但鉴于此次数据泄露事件发生的时间之长，显然这种假设不太可能成真。 由于攻击者没有试图出售这些数据，再加上数据信息的敏感性（包括护照号码），一些政府官员以及网络调查人员担心这些黑客也许是受雇于外国政府，而不是犯罪集团。 Recorded Future的Barysevich表示这一点不太可能。在确认数据入侵事件被发现之前，黑客通常不会出售自己窃取来的数据，以防自己被网络驱逐。他表示：“我们认为这些数据将会被公开。”（堆堆）[详情]

　　 万豪“数据门”敲响信息安全警钟 北京商报 刚刚与喜达屋合并会员体系没几个月，万豪就陷入了巨量用户数据泄露风波。11月30日晚，万豪国际集团对外公布，集团旗下喜达屋酒店的一个客房预订数据库被黑客入侵，可能有约5亿顾客的信息泄露。万豪的事故更像是一个缩影，近年来无论国内还是国外酒店集团，为拓展直销渠道都在大力发展会员计划，但屡屡发生的客户数据泄露事件也向酒店后台的数据安全防护机制发起了考问。 数据再遭泄露 据万豪国际集团披露消息称，涉及的酒店包括W酒店、瑞吉酒店、喜来登酒店与度假村、威斯汀酒店与度假村、源宿酒店雅乐轩酒店、豪华精选酒店、艾美酒店与度假村、福朋喜来登酒店等，其中绝大部分品牌酒店在中国均有分布。 据悉，在这5亿名被泄露的客人信息中，约有3.27亿人的信息包括了个人姓名、性别、电话号码、电子邮箱、护照号码、喜达屋SPG俱乐部账户信息、出生日期等。对于某些客人而言，信息还包括支付卡号和支付卡有效期。虽然万豪国际对支付卡号进行了加密，但目前无法排除第三方是否已经掌握解锁信息的密钥。 需要注意的是，此次信息泄露事件其实早有端倪。据万豪国际披露，早在2014年，该集团就发现有第三方对喜达屋网络未经授权进行访问，但最近该集团才发现未经授权的第三方已复制加密了部分信息，并试图将信息移出。今年11月19日，万豪国际才确定信息内容来自喜达屋宾客预订数据库。目前，万豪国际方表示已将此事报知司法部门，后续将继续协助调查。同时，将开始向受此违规行为影响的客人发送电子邮件，并创建了一个信息网站。 业内有消息称，目前已有消费者针对万豪国际数据泄露提出集体诉讼。由于此次用户信息泄露涉及欧洲多个国家，根据欧盟一般数据保护条例，涉及欧盟公民信息严重违规的企业，将面临高达其年收入4%的罚款。有观点认为，这意味着，以万豪国际2017年度总营收228.94亿美元测算，该集团有可能将为此次数据泄露付出数亿美元的代价。 个人信息“金矿” 近年来，大型连锁酒店遭遇数据泄露已经屡见不鲜，华住集团、凯悦酒店、洲际酒店、拉斯韦加斯硬石酒店及赌场、特朗普酒店、千禧酒店及度假村等均曾成为黑客攻击的对象，而庞大且极具价值的用户信息则成为贡献非法利益的重要来源。 据某不愿透露姓名的互联网高级安全专家分析，个人信息是互联网经济最宝贵的资源之一，不仅是商业竞争的角力点，更是众多诈骗活动的“金矿”。一旦大量的用户信息落入黑色产业中，将会沦为非法牟利的工具。黑色产业可利用他人身份证号、手机号、邮箱、家庭住址等真实信息注册虚假身份，进行违法犯罪；也会通过验证账户和密码数据的准确性或用专门的软件、程序批量访问邮箱、社交软件等获取用户更多精准有效的数据，进行敲诈、勒索、多重洗劫账号等。 众所周知，万豪国际于2016年斥资136亿美元收购喜达屋后，一跃成为全球最大的连锁酒店。合并后公司在全球拥有特许经营超过6700家酒店，客房总数达110万间。今年三季度，万豪国际在收获51%净利增长的同时，新增客房数量1.8万间，其中约有1万间位于美国以外的国际市场。业内普遍认为，万豪国际业务版图持续扩大的同时，如果不能保障宾客信息安全，这意味着每个住店旅客都将面临着利益被侵害的风险。 酒店资深专家赵焕焱也指出，任何个人信息都可能具有商业价值，并引发个人信息的非法买卖。这次万豪泄露了部分客户的支付卡号和支付卡有效期信息，如果破解密钥就可能对支付卡造成威胁。像万豪国际这样的大型酒店集团，必须要把用户信息安全列为核心竞争力重要内容，进一步提升信息安全的等级，时刻关注异常情况，并及时采取相应措施。 数据保护束手无策 北京商报记者了解到，无论国际还是国内，酒店用户信息泄露事件屡屡发生，这背后纵使有巨大利益的驱使，酒店也难逃监管不力之责。2017年，全球11个国家的41家凯悦酒店支付系统就被黑客入侵，大量数据外泄，包括住客支付卡姓名、卡号、到期日期和验证码。据报道，国内共有18家凯悦酒店受到影响，中国也成为该事件中受影响最大、数量最多的国家；今年8月28日，华住酒店集团也被曝出旗下酒店用户数据信息遭交易行为，泄露数据涉及到1.3亿人，当时还被标价约37.6万元。此后，虽然涉及上亿华住酒店用户信息泄露案宣告被破，但酒店信息泄露防范难的问题始终难被有效解决。 一位酒店高管对北京商报记者坦言，用户信息的泄露，不仅让酒店用户信息变得不安全，同时也让酒店集团的声誉受到影响。面对此情景，酒店管理集团往往束手无策，只能选择报警。对此，360集团董事长兼CEO周鸿祎也曾提出“用户隐私保护三原则”，包括明确用户数据信息是用户个人资产、保障用户对数据信息使用的知情权及选择权、明确互联网公司保护用户数据信息安全的责任。 近年来，国内各个酒店集团都在大力发展会员计划，就在前几天，万达酒店及度假村还宣布升级万悦会，此前，华住酒店集团也在“世界大会”上提到了加强会员体系，目的为加码直销。就在酒店自己打造会员体系的同时，信息安全也随之被重视。有业内人士指出，酒店行业账户信息不像支付宝、银行等信息涉及到大量金额出入，相比之下，酒店行业对于信息的保护程度不够重视，未来酒店行业应该在信息安全上多增加防范措施，如此才能保证行业健康发展。[详情]

　　原标题：5亿房客信息“裸奔”4年才被发现！涉及喜来登、威斯汀、瑞吉．．．．．． 又一家酒店发生数据库安全事件，这一次是大名鼎鼎的国际酒店管理公司万豪国际集团。 万豪国际集团11月30日发布公告称，旗下喜达屋酒店客房预订数据库遭黑客入侵，最多约5亿名客人的信息可能被泄露。目前多国监管部门已经开始着手就此事件进行调查。  喜达屋约5亿宾客信息泄露 包括部分支付卡信息 万豪国际集团11月30日发布的公告称，该集团内部安全工具曾在9月8日发出警报，有第三方试图访问喜达屋宾客预订数据库。经过初步调查后，万豪国际集团于11月19日确定，今年9月10日及之前喜达屋酒店预订数据库中的宾客信息曾在未经授权的情况下被访问，最多可能涉及约5亿名客人。其中3.27亿人的信息包括姓名、地址、电话、生日、护照号码、预定日期等，甚至部分人的支付卡号和支付卡有效期等同时遭到泄露。 此次事件令人震惊的是，信息泄露最早始于2014年，但直到2018年9月8日，万豪国际集团才收到内部安全工具发出的警报。这导致2018年9月10日及之前喜达屋酒店预订数据库中的宾客信息可能遭泄露。 万豪史上规模最大的黑客入侵 资料显示，万豪国际集团在2016年3月斥资136亿美元收购喜达屋酒店及度假酒店国际集团，创造全球最大的连锁酒店。合并后公司在全球拥有特许经营超过6700家酒店，客房总数达110万间。 万豪国际集团称此次用户数据泄露事件仅与喜达屋旗下的喜来登、威斯汀、瑞吉、W等酒店品牌有关，而其他不使用同一系统的酒店未受影响。目前，包括英国、美国在内的多国监管机构已宣布计划调查这起事件。 万豪方面还补充，可能泄露的还包括加密的信用卡信息，且不能排除加密密匙同时被盗的可能性。万豪表示，这起事件的大部分细节尚不清楚，并有待调查。该公司表示正在调查网络攻击的各个方面，包括它是如何发生的，是否访问了未加密的支付数据，或者为什么在2014年入侵开始时安保程序没有被激活，以及其他细节。 由于黑客开始入侵的时间在万豪收购喜达屋之前，有舆论质疑万豪在与竞争对手喜达屋的合并之前是如何进行网络安全尽职调查的。 以信息数量衡量，喜达屋酒店本次数据泄露事件仅次于2013年雅虎30亿账户遭窃。当时雅虎承担的诉讼成本超过4700万美元。万豪表示，现在估计此次黑客攻击造成的财务损失还“为时过早”，该集团的网络保险可以支付部分费用，这起事件不会影响其长期财务健康。 新闻多看点 NEWS MORE 对于万豪客户，最关心的就是自己的信息是否被泄露？哪些信息被泄露？应该采取哪些补救措施？对此万豪作出了解答。 我的信息是否泄露？ 如果您在2018年9月10日或之前曾经预订喜达屋酒店，您提供的数据可能受到影响。 哪些信息被泄露？ 从喜达屋宾客预订数据库中拷贝的数据包含在喜达屋酒店预订房间的客人的信息，包含姓名、邮寄地址、电话号码、电邮地址、护照号码、SPG 俱乐部会员账户资料、出生日期、性别、入住和退房信息、预订日期及通讯偏好等信息。 信息的组合视每位宾客的情况不同。对于某些客人而言，信息还包括支付卡号和支付卡有效期，但支付卡号已通过高级加密标准（AES-128）加密。解密支付卡号码需要解锁两项密钥，目前万豪国际无法排除该第三方是否已经掌握这两项密钥。 哪些酒店可能受影响？ 万豪国际已设立了专门的电话服务中心（中国：400-120-0845），以解答您对此事件的疑问。[详情]

　　新京报漫画/陈冬 据媒体报道，万豪国际集团因数据被黑客攻击的事件，可能会被处以数百万美元的国家罚款。这起黑客攻击事件将有可能影响5亿名用户，其中约3.27亿人的护照号码、电子邮件和其他个人数据可能被窃取，信用卡和支付卡数据也可能被盗。 在大数据时代，陷入“隐私漩涡”的企业并不在少数。不可否认，大数据给我们带来很多便利，同时也给公众的个人隐私带来不小的威胁。根据第41次《中国互联网网络发展状况统计报告》，在互联网安全方面，个人隐私泄露的问题发生频率最高，占比27.1%。就2018年上半年来说，网民被非法软件或网站泄露个人信息的案件就有3000余起，同比2017年度增长了1.5%。 大数据时代之所以会造成个人隐私安全问题，关键在于人们已经失去了对自身隐私数据的专有权。如今，个人的行迹、购买记录都会被有关机构所拥有，自身数据早已不仅仅属于自己。同时，众多企业通过用户使用其APP的过程，在用户无意间获取到大量的隐私数据，真可谓防不胜防。 因此，在当前的大数据时代，我们在享受互联网所带来便利的同时，更应该注重保护个人隐私。首先，个人隐私终究是我们自己的隐私，应当注重自己隐私的专有权，提升隐私保护意识。 根据2016年中国发布的《个人信息安全和隐私保护报告》，证件复印件、快递单、手机等是隐私泄露的重要载体，高达55%的人将证件给其他机构时，并不清楚其他用途，近一半的调查者丢弃快递单时并不会加以处理，近四分之一的人在更换、注销手机号码时，并未解绑微信、银行卡等，对于安装APP时，关于应用权限请求，大部分人也并不会详细阅读，往往会不假思索地同意。这些行为都成为滋生窃取个人信息行为的沃土，个人隐私是我们每一个人所拥有的财富之一，我们应当对自己的个人隐私进行充分的保护。 其次，与其他国家相比，我国法律体系对于个人隐私权的保护不够重视也不够全面。 虽然我国现在已经开始重视对于个人隐私权的保护，出台了类似《关于加强网络信息保护的决定》、《电信和互联网用户个人信息保护规定》等规章决定，但是，我们尚未有一部专门保护个人信息与隐私保护的法律。因此，相关部门应该继续提高对于个人隐私权的重视程度，尽快出台相应针对个人隐私权利保护的法律。 最后，企业作为当前个人数据（个人隐私）的使用者和获利者，须切实承担其社会责任与义务，坚守道德与法律底线。 企业在获取个人隐私，并且用于商业用途时，应当让消费者充分知悉，将个人隐私的用途、受益群体明确“标红”引起消费者重视。而且，要做好公众个人隐私的保护，万豪数据被窃取等事件都在警醒企业对于消费者信息保护的重要性，企业应当完善相应的数据保护机制，提升员工技术水平，降低信息泄露风险。 当然，保护个人隐私并不意味着公众的一切信息都不允许他人获得。因为阻碍一切“获得”，不利于群众享受科技发展便利也不利于社会向前发展。公众实际上更在意的是知情权，而不仅是对个人隐私的绝对保护。 个人隐私是一个人基本的人格权利，当一个人没有了隐私，就如同穿着“皇帝的新衣”招摇过市，这对于个人的人身和财产安全都具有巨大的威胁。然而，保护隐私并不是保护个人隐私的绝对专有权，而是在保证隐私所有者知情权的情况下，根据个人意愿针对性、差异性的保护不同层面的隐私。唯有如此，才能在大数据时代让大众更好地享受到科技发展的红利，还能够使个人的隐私权得到保护。 □盘和林（应用经济学博士后） 编辑 王宇 校对 张彦君[详情]

　　万豪泄漏5亿顾客信息 酒店数据安全再遭拷问 北京商报记者 关子辰 武媛媛 刚刚合并喜达屋会员体系没几个月，万豪就陷入了巨量用户数据泄露风波。11月30日晚，万豪国际集团对外公布，集团旗下喜达屋酒店的一个客房预订数据库被黑客入侵，可能有约5亿顾客的信息泄露。次日，万豪旗下SPG（喜达屋）俱乐部微信公众发布信息称，万豪国际集团调查发现，2018年9月10日及之前喜达屋旗下酒店预订数据库中的宾客信息曾在未经授权的情况下被访问。实际上，近年来无论国内还是国外酒店集团，为拓展直销渠道都在大力发展会员计划。不过，屡屡发生的客户数据泄漏事件再次拷问酒店后台数据安全防护机制，可见数据安全问题也成为酒店的“行业之殇”。 数亿数据再遭泄露 大型酒店客户信息泄漏事件再度发生。据万豪国际集团披露消息称，该集团旗下喜达屋酒店的一个客房预订数据库被黑客入侵，可能有约5亿名顾客的信息泄露，涉及的酒店包括W酒店、瑞吉酒店、喜来登酒店与度假村、威斯汀酒店与度假村、源宿酒店雅乐轩酒店、豪华精选酒店、艾美酒店与度假村、福朋喜來登酒店等，其中绝大部分品牌酒店在中国均有分布。 据悉，在这5亿名被泄露的客人信息中，约有3.27亿人的信息包括了个人姓名、性别、电话号码、电子邮箱、护照号码、喜达屋SPG俱乐部账户信息、出生日期等。对于某些客人而言，信息还包括支付卡号和支付卡有效期。虽然万豪国际对支付卡号进行了加密，但目前无法排除第三方是否已经掌握解锁信息的密钥。 需要注意的是，此次信息泄漏事件其实早有端倪。据万豪国际披露，早在2014年，该集团就发现有第三方对喜达屋网络未经授权进行访问，但最近该集团才发现未经授权的第三方以复制加密了部分信息，并试图将信息移出。今年11月19日，万豪国际才确定信息内容来自喜达屋宾客预订数据库。目前，万豪国际方表示已将此事报知司法部门，后续将继续协助调查。同时，将开始向受此违规行为影响的客人发送电子邮件，并创建了一个信息网站。据了解，消息公布后，万豪国际的股价在周五盘前下跌5.6%，报115.02美元。 业内有消息称，目前已有消费者针对万豪国际数据泄漏提出集体诉讼。由于此次用户信息泄漏涉及欧洲多个国家，根据欧盟一般数据保护条例，涉及欧盟公民信息严重违规的企业，将面临高达其年收入4%的罚款。有观点认为，这意味着，以万豪国际2017年度总营收228.94亿美元测算，该集团有可能将为此次数据泄漏付出数亿美元的代价。 背后的复杂利益链 近年来，大型连锁酒店遭遇数据泄露已经屡见不鲜，华住集团、凯悦酒店、洲际酒店、拉斯维加斯硬石酒店及赌场、特朗普酒店、千禧酒店及度假村等均曾成为黑客攻击的对象，而庞大且极具价值的用户信息则成为贡献非法利益的重要来源。 据某不愿透露姓名的互联网高级安全专家分析，个人信息是互联网经济最宝贵的资源之一，不仅是商业竞争的角力点，更是众多诈骗活动的“金矿”。一旦大量的用户信息落入黑色产业中，将会沦为非法牟利的工具。黑色产业可利用他人身份证号、手机号、邮箱、家庭住址等真实信息注册虚假身份，进行违法犯罪；也会通过验证账户和密码数据的准确性或用专门的软件、程序批量访问邮箱、社交软件等获取用户更多精准有效的数据，进行敲诈、勒索、多重洗劫账号等。 众所周知，自万豪国际于2016年斥资136亿美元收购喜达屋后，一跃成为全球最大的连锁酒店。合并后公司在全球拥有特许经营超过6700家酒店，客房总数达110万间。今年第三季度，万豪国际在收获51%净利增长的同时，新增客房数量1.8万间，其中约有1万间位于美国以外的国际市场。业内普遍认为，万豪国际业务版图持续扩大的同时，如果不能保障宾客信息安全，这意味着每个住店旅客都将面临着利益被侵害的风险。 此外，酒店资深专家赵焕焱也指出，任何个人信息都可能具有商业价值，并引发个人信息的非法买卖。这次万豪泄露了部分客户的支付卡号和支付卡有效期信息，如果破解密钥就可能对支付卡造成威胁。像万豪国际这样的大型酒店集团，必须要把用户信息安全列为核心竞争力重要内容，进一步提升信息安全的等级，时刻关注异常情况，并及时做出相应措施。 数据安全薄弱顽疾待解 北京商报记者了解到，无论国际还是国内，酒店用户信息泄露事件屡屡发生，这背后纵使有巨大利益的驱使，酒店也难逃监管不力之责。2017年，全球11个国家的41家凯悦酒店支付系统就被黑客入侵，大量数据外泄，包括住客支付卡姓名、卡号、到期日期和验证码。据报道，国内共有18家凯悦酒店受到影响，中国也成为该事件中受影响最大、数量最多的国家；今年8月28日，华住酒店集团也被曝出旗下酒店用户数据信息遭交易行为，泄露数据涉及到1.3亿人，当时还被标价约为37.6万元。此后，虽然涉及上亿华住酒店用户信息泄露案宣告被破，但酒店信息泄露防范难的问题始终难被有效解决。 一位酒店高管对北京商报记者坦言，用户信息的泄露，不仅让酒店用户信息变得不安全，同时也让酒店集团的声誉受到影响。面对此情景，酒店管理集团往往束手无策，只能选择报警。 实际上，近年来业界也不断有声音呼吁要加强用户信息安全，今年初，作为全国政协委员的360集团董事长兼CEO周鸿祎便在全国“两会”记者会上提出“用户隐私保护三原则”。可见，关于信息安全的呼声也与日俱增。 近年来，国内各个酒店集团都在大力发展会员计划，就在前几天，万达酒店及度假村还宣布升级万悦会，此前，华住酒店集团也在“世界大会”上提到了加强会员体系，目的为加码直销。就在酒店自己打造会员体系的同时，信息安全也随之被重视。有业内人士指出，酒店行业账户信息不像支付宝、银行等信息涉及到大量金额出入，相比之下，酒店行业对于信息的保护程度不够重视，未来酒店行业应该在信息安全上多增加防范措施，如此才能保证行业健康发展。[详情]

　　万豪旗下酒店预订系统遭入侵 股价受影响大幅下挫 国际知名酒店集团万豪国际11月30日证实，旗下喜达屋酒店预订系统2014年起遭网络“黑客”入侵，泄露大约5亿客户的个人信息。 美国5个州的总检察长和英国信息专员办公室说，将调查这起网络安全事件。 【波及5亿客户】 万豪国际11月30日说，集团内部安全工具9月8日警告，提醒喜达屋酒店预订系统遭入侵。万豪随即联系网络安全专家，以确认情况。 经调查，万豪确认喜达屋酒店预订系统自2014年起遭黑客侵入。黑客复制并加密一些数据，分步“迁移”复制。万豪9月18日解密这些数据，确认数据源于喜达屋酒店预订系统。 万豪估计，大约5亿曾在喜达屋系统预订酒店的客户受影响。这一系统管理W酒店、瑞吉、希尔顿、威斯汀等知名品牌酒店的客户预定。 其中大约三分之二、即3.27亿客户的姓名、住址、电话号码、电子邮件地址、护照号码以及喜达屋贵宾卡包含的出生日期、性别、预订时间等信息遭泄露；另有一些客户的支付信息遭泄露，包括预订酒店所用信用卡卡号及有效期。 万豪国际发言人杰夫·弗莱赫蒂11月30日说，集团没有完全确认黑客所复制的信息。 美国前联邦网络安全检察官马克·拉谢说：“受影响的人数、数据的私密性以及延迟发现系统遭黑客入侵等因素使这起网络安全事件性质严重。” 美国信用卡网站分析师特德·罗斯曼说，非支付信息遭泄露更应引起注意，犯罪分子可能利用这些信息以客户名义开设虚假账户。 一些客户经由社交媒体“推特”抱怨，使用“上当”“生气”“灾难”等词汇表达不满。一些客户指认万豪“疏忽”，构成“欺诈及不公平商业行为”，要求补偿个人信息遭泄露所致损失。 【系统整合不顺】 万豪国际首席执行官阿恩·索伦森在一份声明中向客户致歉。“我们没有达到客户的要求以及对自己的预期，”索伦森说，“我们正尽一切可能支持客户并将吸取教训，以便更好地发展。” 这家酒店集团为处理这起事件设立专项客户服务电话，从11月30日开始逐一通知可能受影响的客户。 美国康涅狄格、伊利诺伊、马萨诸塞、纽约、宾夕法尼亚5个州的总检察长着手调查这起安全事件。美国联邦调查局说，调查正在推进。英国信息专员办公室作出相同回应。 万豪国际总部位于美国马里兰州蒙哥马利县贝塞斯达，旗下运营的酒店超过6700处，遍及全球，主要分布在北美地区。万豪2015年宣布收购喜达屋酒店及度假村国际集团时，后者拥有2100万忠实客户。这项收购次年完成。 美联社报道，万豪收购喜达屋后，两套酒店预订系统整合过程不顺。一些客户反映系统故障不少：他们的账户积分“无故失踪”、刷信用卡消费获赠免费在酒店住宿的天数不再显示。 按照索伦森的说法，两套系统的整合还没有完成，万豪正寻求逐步淘汰喜达屋酒店预订系统。 受这一事件影响，万豪的股票价格当天大幅下挫。这一酒店集团说，暂时无法估计黑客入侵给集团造成的损失。从长远看，不会影响集团的财务状况。 英国贝尔德股权研究公司推断，黑客入侵喜达屋酒店预订系统产生的关联费用，包括律师费、新增技术和网络安全成本将迫使万豪推迟原定2019年初推广的“忠实客户计划”。（包雪琳）（新华社专特稿） （责任编辑：何欣）[详情]

　　 万豪客户信息遭泄 媒体：只有严惩酒店才会更小心 原标题：万豪被集体诉讼，酒店行业当警醒 ■ 社论 只有更加严厉的司法惩罚才能让酒店管理者更小心、妥善地保管好住客信息。 11月30日，万豪国际集团在其官方微博账号上表示，其公司旗下喜达屋酒店的一个客房预订数据库被黑客入侵，多达5亿人次的详细信息可能遭到泄露。就在官方宣布之后数小时，万豪便遭遇了一起消费者集体诉讼。两家美国诉讼集团代表众多消费者向万豪提起诉讼，而这很可能仅是序曲，未来不排除更多的集体诉讼。 对于这样的诉讼，万豪理应早有心理准备。一家跨国集团公司，客户利益至上的理念，本应根植于心，外化于行。现实情况却是，万豪在管理顾客数据上长期疏漏、防护失控。根据通报，黑客入侵早在2014年已发生，但该公司在长达四年时间却“蒙在鼓里”。今年9月8日，该公司即接到侵入警报，11月19日才解密信息，更反映出信息防控能力缺失。既然有这样的“过错”，就不能把包袱甩给黑客，把自己等同于一般的受害者。 作为全球首屈一指的酒店管理公司，万豪国际集团虽然业务遍及美国及其他67个国家和地区，但公司总部设于美国首都华盛顿特区，因而应当遵守所在国的法律，接受该国的司法管辖。美国立法严格保护个人隐私权利，作为受害者，隐私权利受到了损害，选择美国司法管辖并无不妥。因为各州的侵权法律有所差异，为了更好地维护权益，可以选择不同法院提起诉讼。 但不管是在哪里起诉，在集体诉讼的游戏规则下，万豪酒店已然难逃一劫。一起集体诉讼只要打胜了，利益归于所有受害人，败诉也无所谓，甚至都不需要诉讼费。因为官司一旦打赢，和解费的30%左右归律师所有，很多律师事务所也乐意介入，以优惠条件获取受害方的授权。 根据“侵权行为地法”原则是一般侵权适用原则，一起大规模的侵权案件，具有管辖权的，不仅是侵权人所在国，受害人所在国通常也具有管辖权。如果有中国公民受到侵害，既可以选择中国法院提起代表人诉讼，也可以选择在美国提起集体诉讼。因此，万豪酒店或许要面对的官司纠纷将来自于不止美国一个国家。 对于酒店行业来说，其特殊性在于，手中掌握着大量住客信息，管控上的任何漏洞都将为黑客入侵掠夺创造机会。比如，2017年10月，全球11个国家的41家凯悦酒店支付系统被黑客入侵，住客支付卡姓名、卡号、到期日期和验证码等大量数据泄露，而这是自2016年1月后，该酒店集团又一次严重数据泄露事件。今年8月28日，华住集团旗下多个品牌的连锁酒店用户数据疑似发生泄露。 从各国做法看，普遍强调作为数据管理者的法律责任，在立法和司法上倾斜受害者，也是为了更好地维护相对弱势的公民个体利益。因此，透过万豪的这起数据泄露事件，其警示意义在于：在立法、司法上还应继续发力，只有更加严厉的司法惩罚才能让酒店管理者更小心、妥善地保管好住客信息，进而守护公民的信息安全。 [详情]

　　万豪在美被集体诉讼，泄露住客信息这次要付出天价赔偿？ ▲当地时间2018年11月30日，美国芝加哥，万豪酒店。万豪国际集团在11月30日宣布其喜达屋客户预订数据库遭黑客攻击数小时后，遭遇了一起消费者集体诉讼。图片来自视觉中国 11月30日，万豪国际集团在其官方微博账号上表示，其公司旗下喜达屋酒店的一个客房预订数据库被黑客入侵，多达5亿人次的详细信息可能遭到泄露。就在官方宣布之后数小时，万豪便遭遇了一起消费者集体诉讼。两家美国诉讼集团代表众多消费者向万豪提起诉讼，而这很可能仅是序曲，未来不排除更多的集体诉讼。 对于这样的诉讼，万豪理应早有心理准备。一家跨国集团公司，客户利益至上的理念，本应根植于心，外化于行。现实情况却是，万豪在管理顾客数据上长期疏漏、防护失控。根据通报，黑客入侵早在2014年已发生，但该公司在长达四年时间却“蒙在鼓里”。今年9月8日，该公司即接到侵入警报，11月19日才解密信息，更反映出信息防控能力缺失。既然有这样的“过错”，就不能把包袱甩给黑客，把自己等同于一般的受害者。 作为全球首屈一指的酒店管理公司，万豪国际集团虽然业务遍及美国及其他67个国家和地区，但公司总部设于美国首都华盛顿特区，因而应当遵守所在国的法律，接受该国的司法管辖。美国立法严格保护个人隐私权利，作为受害者，隐私权利受到了损害，选择美国司法管辖并无不妥。因为各州的侵权法律有所差异，为了更好地维护权益，可以选择不同法院提起诉讼。 但不管是在哪里起诉，在集体诉讼的游戏规则下，万豪酒店已然难逃一劫。一起集体诉讼只要打胜了，利益归于所有受害人，败诉也无所谓，甚至都不需要诉讼费。因为官司一旦打赢，和解费的30%左右归律师所有，很多律师事务所也乐意介入，以优惠条件获取受害方的授权。 根据“侵权行为地法”原则是一般侵权适用原则，一起大规模的侵权案件，具有管辖权的，不仅是侵权人所在国，受害人所在国通常也具有管辖权。如果有中国公民受到侵害，既可以选择中国法院提起代表人诉讼，也可以选择在美国提起集体诉讼。因此，万豪酒店或许要面对的官司纠纷将来自于不止美国一个国家。 对于酒店行业来说，其特殊性在于，手中掌握着大量住客信息，管控上的任何漏洞都将为黑客入侵掠夺创造机会。比如，2017年10月，全球11个国家的41家凯悦酒店支付系统被黑客入侵，住客支付卡姓名、卡号、到期日期和验证码等大量数据泄露，而这是自2016年1月后，该酒店集团又一次严重数据泄露事件。今年8月28日，华住集团旗下多个品牌的连锁酒店用户数据疑似发生泄露。 从各国做法看，普遍强调作为数据管理者的法律责任，在立法和司法上倾斜受害者，也是为了更好地维护相对弱势的公民个体利益。因此，透过万豪的这起数据泄露事件，其警示意义在于：在立法、司法上还应继续发力，只有更加严厉的司法惩罚才能让酒店管理者更小心、妥善地保管好住客信息，进而守护公民的信息安全。 编辑 肖隆平 校对 杨许丽[详情]

　　 新浪美股讯 北京时间12月1日，根据欧盟的《一般数据保护条例》（General data Protection Regulation），万豪国际集团的数据泄露可能意味着将受到重大处罚。 那些涉及欧盟公民信息的严重违规企业，可能会面临诉讼和高达其年收入4%的罚款。 彭博社情报分析师塔姆林-贝松（Tamlin Bason）表示，这起事件“似乎很可能成为测试监管机构对GDPR采取何种态度的又一个早期案例”。 根据GDPR，企业必须在发现数据泄露后72小时内通知监管机构。英国万豪国际集团的数据保护管理局11月30日说，万豪国际已通知该机构，该公司的数据库遭到了未经授权的访问，可能泄露了多达5亿名客人的信息。 英国信息专员办公室在一份声明中表示，该机构正就此事“进行调查”。 DMH Stallard驻英国律师凯瑟琳-卡弗豪斯（Cathryn Culverhouse）在一份声明中表示，英国信息专员办公室可能会开始调查万豪，万豪可能因这起大规模违规行为而受到“巨额罚款”。她说，“这可能会对酒店的声誉造成破坏性影响。” 万豪酒店11月30日宣布，通过一项内部调查，该公司了解到，在喜达屋预订系统中，一些客户的姓名、邮寄地址、护照号码和出生日期可能被泄露。 贝松表示，万豪最初披露的信息可能不会导致最高水平的GDPR罚款，但法律的其他条款可能会带来较低的相关罚款。 贝松表示，要求公司通过设计来保护数据的要求“肯定会发挥作用”。他说，“用户数据，尤其是护照信息，是否储存了在不必要的地方？” [详情]

　　 万豪国际集团出大事了。本周五晚间，这家著名的酒店集团发布公告称，自家数据库系统遭到黑客入侵，包括姓名、信用卡、邮箱、email 和护照号在内的个人数据均被黑客盗走，波及用户数达到令人咋舌的 5 亿。除了泄露 30 亿用户信息的雅虎，历史上恐怕没有比万豪数据泄露更严重的事故了。 《华盛顿邮报》指出，这次数据泄露问题起自 2014 年的喜达屋酒店，当时它们还没被万豪吃掉呢。“2016 年万豪收购喜达屋后，并没有发现系统中的漏洞。也就是说，黑客已经在万豪用户数据的海洋中兴风作浪四年之久了。” 万豪集团表示，它们 11 月 19 日才发现有人对喜达屋的客户预约数据库进行未经授权的访问，而黑客能轻松拿到今年 9 月 10 日之前的数据。在这 5 亿受影响的用户中，有 3.27 亿人“受伤”最为严重，黑客几乎能把控他们所有的个人信息。 更可怕的是，这些客户的信用卡号也一并丢失，虽然使用了 AES-128 加密标准，但万豪承认自己无法确定黑客是否已经盗走了解密信用卡账号信息的密匙。 对于此事，万豪集团也只能深表遗憾，并表示将尽一切努力帮助顾客，同时吸取教训。 作为世界上最大的连锁酒店集团，万豪国际集团拥有超过 5800 家酒店，而此次中招的还包括著名的 W 酒店、喜来登、威斯汀和艾美酒店等。 此次黑客入侵万豪集团酒店系统的动机还不明朗，不过安全专家认为酒店的 Wi-Fi 是黑客的突破口。其实 2016 年时，喜达屋和万豪酒店就遭到过黑客攻击，当时就有数万名用户的信用卡号被盗。 那么，如果你在过去四年内也入住过万豪集团旗下酒店，该怎么积极采取措施“自救”呢？下面我们就给大家支支招，把这 5 步做全了，就能将损失降到最低。 1． 更换密码 这一招算是老生常谈了，先把你的万豪/喜达屋密码改了吧，它是第一步措施，同时也是最简单的一个。需要提醒的是，如果你的万豪/喜达屋密码和其它账户密码相同或类似，改进把其他账户的密码也换了吧。 2． 查看账户是否有可疑活动 修改了密码后就赶紧看看自己账户是否出现可疑交易吧。如果发现了什么平时没有察觉的异样，请赶紧联系发卡行。如果你的万豪账户出现了不正常的欺诈交易，请直接联系万豪。当然，也别忘了检查下其它账户，也许黑客已经顺藤摸瓜将它们一锅端了呢。 需要注意的是，得手的黑客不会马上使用或售卖被盗数据，因此你的弦得多紧绷一会。 3． 不行就冻结信用卡 冻结信用卡不但让黑客难以拿到你的信用卡报告（内容包括你什么时候申请了新卡，贷了哪些款和住所、工作等），还能避免它们用你的信息创建新账户。 如果你不想冻结信用卡，就开个欺诈警告吧，提醒和更多的验证步骤还是有较强保护作用的。 4． 两步验证用起来 拿到大量数据后，黑客们会试图将这些数据进行整个以登陆用户的其它在线账户和服务。这时，复杂的密码就变得至关重要。如果你还不知道什么是两步验证法，现在也该去现学现用了。 其实万豪已经是酒店业使用两步验证法的先驱了，但由于它们一直是万豪与喜达屋两套系统（SPG）并行使用（最近才开始融合），因此后者的安全性就出了问题。希望这次惨痛的教训能让两步验证法在酒店业更快普及吧。 5． 对欺诈长个心眼 网络罪犯们知道，数据被盗了的客户会陷入安全焦虑中，因此他们很容易疾病乱投医，进了坏人的连环套。在这里我们提醒一点，千万别乱点邮箱中的链接，尤其是那些以保护或找回个人数据为“卖点”的钓鱼邮件。此外，如果要在网上联系银行或万豪集团，一定要进官网，别糊里糊涂再遇上个“李鬼”。 [详情]

　　5亿房客信息“裸奔”，竟然过了4年才发现！涉及酒店均大名鼎鼎…万豪国际集团，拿什么信任你的万般豪华？ 万豪旗下喜达屋客户数据库发生“裸奔”事件，我们的隐私“一丝不挂”。 又一家酒店发生数据库安全事件，这一次是大名鼎鼎的万豪国际集团。 万豪国际集团11月30日发布公告称，旗下喜达屋酒店客房预订数据库遭遇黑客入侵，最多约5亿名客人的信息可能被泄露。目前多国监管部门已经开始着手就此事件进行调查。 作为一家酒店遍布全球的大型集团，客户信息泄露事件让万豪国际集团站上风口浪尖。美国上市的万豪国际周五大跌5.59%。 万豪国际集团11月30日发布的公告称，该集团内部安全工具曾在9月8日发出警报，有第三方试图访问喜达屋宾客预订数据库。经过初步调查后，万豪国际集团于11月19日确定，今年9月10日及之前喜达屋酒店预订数据库中的宾客信息曾在未经授权的情况下被访问，最多可能涉及约5亿名客人。其中3.27亿人的信息包括，姓名、地址、电话、生日、护照号码、预定日期等，甚至部分人的支付卡号和支付卡有效期等同时遭到泄露。 此次事件令人震惊的是，信息泄露最早始于2014年，但直到2018年9月8日，万豪国际集团才收到内部安全工具发出的警报。这导致2018年9月10日及之前喜达屋酒店预订数据库中的宾客信息可能遭泄露。 万豪国际集团遭遇史上规模最大的黑客入侵 资料显示，万豪国际集团在2016年3月斥资136亿美元收购喜达屋酒店及度假酒店国际集团，创造全球最大的连锁酒店。合并后公司在全球拥有特许经营超过6700家酒店，客房总数达110万间。 万豪国际集团称此次用户数据泄露事件仅与喜达屋旗下的喜来登、威斯汀、瑞吉、W等酒店品牌有关，而其他不使用同一系统的酒店未受影响。万豪国际集团首席执行官苏安励称，他对此事件深表歉意，正在积极采取行动，不遗余力地帮助受影响的宾客。目前，包括英国、美国在内的多国监管机构已宣布计划调查这起事件。 万豪方面还补充，可能泄露的还包括加密的信用卡信息，且不能排除加密密匙同时被盗的可能性。 万豪CEO阿恩·索伦森（Arne Sorenson）在声明中表示，该集团将向那些受到影响的客人发邮件。此外，为了向信息被泄露的客人提供更多信息，万豪已经搭建了一个网站，还将向其在美国和其他一些国家和地区的客人提供为期一年的欺诈识别服务。 据NBC报道，此次万豪遭遇的数据泄露可能是史上规模最大的黑客入侵之一。 万豪声明 万豪网络安全受质疑 虽然客户信息泄露丑闻让万豪股票大跌超5%，但分析师似乎最初并不关心财务影响：“对品牌潜在影响的不确定性可能会对今天的交易情绪造成压力，”RBC Capital Markets的Wes Golladay当地时间周五在一份分析师声明中写道。然而，“就像其他公司已经解决了的大数据泄露问题一样，我们希望（万豪）也已经做到了”他说。 在一份8K报告文件中，万豪表示其有购买网络保险。该公司表示正在调查该保险在这起事件里面覆盖到什么范围。但在大多数情况下，保险大大抵消了这类入侵行为的成本。 万豪表示，这起事件的大部分细节尚不清楚，并有待调查。该公司表示正在调查网络攻击的各个方面，包括它是如何发生的，是否访问了未加密的支付数据，或者为什么在2014年入侵开始时安保程序没有被激活，以及其他细节。 由于黑客开始入侵的时间在万豪收购喜达屋之前，有舆论质疑万豪在与竞争对手喜达屋的合并之前是如何进行网络安全尽职调查。 以信息数量衡量，喜达屋酒店本次数据泄露事件仅次于2013年雅虎30亿账户遭窃。当时雅虎承担的诉讼成本超过4700万美元。万豪表示，现在估计此次黑客攻击造成的财务损失还“为时过早”，该集团的网络保险可以支付部分费用，这起事件不会影响其长期财务健康。 我们应该怎么办？ 对于万豪客户，最关心的就是自己的信息是否被泄露？哪些信息被泄露？应该采取哪些补救措施？对此万豪也作出了解答。 ·我的信息是否泄露？ 如果您在2018年9月10日或之前曾经预订喜达屋酒店，您提供的数据可能受到影响。 ·哪些信息被泄露？ 从喜达屋宾客预订数据库中拷贝的数据包含在喜达屋酒店预订房间的客人的信息，包含姓名、邮寄地址、电话号码、电邮地址、护照号码、SPG 俱乐部会员账户资料、出生日期、性别、入住和退房信息、预订日期及通讯偏好等信息。 信息的组合视每位宾客的情况不同。对于某些客人而言，信息还包括支付卡号和支付卡有效期，但支付卡号已通过高级加密标准（AES-128）加密。解密支付卡号码需要解锁两项密钥，目前万豪国际无法排除该第三方是否已经掌握这两项密钥。 ·哪些酒店可能受影响？ 喜达屋旗下品牌包括： W酒店 、瑞吉酒店、喜来登酒店及度假村 、威斯汀酒店及度假村、源宿酒店、雅乐轩酒店、豪华精选酒店、臻品之选酒店、艾美酒店及度假村、福朋喜来登酒店及设计酒店。喜达屋分时度假酒店也包含在内。 ·有多少人受到影响？ 目前，万豪国际尚未完成对数据库中重复信息的识别，但相信数据库中包含曾在喜达屋酒店预订的最多约5亿名宾客的信息。 ·电邮通知 2018年11月30日起，若受影响客人的电子邮件地址已在喜达屋客人预订数据库中，万豪国际将陆续向其发送电子邮件通知。 ·专用电话服务中心 万豪国际已设立了专门的电话服务中心（中国：400-120-0845），以解答您对此事件的疑问。 万豪提醒客户： 1．定期更改密码。避免使用容易猜到的密码。避免不同账户使用相同密码。 2．查阅您的银行卡账户结算单，留意是否有任何未经授权的交易，一旦发现，立即通知发卡银行。 3．对于企图通过网络欺诈（一般称为“网络钓鱼”）收集数据的第三方（包括使用虚假网站链接），要保持警惕。万豪国际不会通过电话或电邮要求您提供密码。 4．如您认为自己的身份被盗用，或个人资料被滥用，应立即联络您所在国家的数据保护机构或当地执法部门。 保护信息安全， 刻不容缓！[详情]

　　来源：北京商报 继华住集团旗下连锁酒店用户信息被曝泄露后，又一家酒店巨头万豪也摊上事儿了。万豪堪称“自曝型”选手。 万豪国际集团官方微博发布声明称，旗下喜达屋酒店的一个客房预订数据库被黑客入侵，5亿用户信息或已经外泄。 这可能会成为仅次于去年雅虎30亿用户信息泄露后，历史上第二大公司用户泄露事件。 消息公布后，万豪国际周五美股盘前一度大跌逾5%。 01 4年5亿人信息 万豪国际集团是世界上著名的酒店管理公司和入选财富全球500强名录的企业。创建于1927年，总部位于美国华盛顿。其于1997年进入中国酒店业市场，并于此后快速发展。 其旗下品牌包括：J.W万豪（JW Marriott Hotels & Resorts），万丽（Renaissance Hotels & Resorts），万怡（Courtyard），万豪居家（Residence Inn），万豪费尔菲得（Fairfield Inn），万豪唐普雷斯（TownePlace Suites），万豪春丘（SpringHill Suites），万豪度假俱乐部（Marriott Vacation Club）， 丽思 卡尔顿（Ritz-Carlton）等等。 2016年，万豪以136亿美元的报价成功收购喜达屋集团，合并后，万豪成为全球最大酒店集团，旗下共拥有30个酒店品牌和5500家酒店。业务范围横跨全球100多个国家和地区，目前市值高达397亿美元。 具体来说，喜达屋旗下品牌包括：W酒店（WHotels）、瑞吉酒店（St.Regis）、喜来登酒店与度假村（Sheraton Hotels&Resorts）、威斯汀酒店与度假村（Westin Hotels&Resorts）、源宿酒店（Element Hotels）、雅乐轩酒店（Aloft Hotels）、豪华精选酒店（The Luxury Collection）、臻品之选酒店（Tribute Portfolio）、艾美酒店与度假村（Le Meridien Hotels&Resorts）、福朋喜来登酒店（Four Points by Sheraton）及设计酒店（DesignHotels）。喜达屋分时度假酒店亦包括其中。 声明称，已采取措施调查和处理涉及喜达屋宾客预订数据库的数据安全事件，目前万豪国际无法排除第三方是否已经掌握能解密客户支付卡号码的两项密钥。 万豪表示，尚未完成对数据库中重复信息的识别，但相信数据库中包含在2018年9月10日或之前可以追溯到2014年的曾在喜达屋酒店预订的最多约5亿名客人的信息。 很早之前就被入侵了，今年才发现，这反射弧是有多长……  这些客人中约有3.27亿人的信息包括如下信息的组合：姓名、邮寄地址、电话号码、电子邮件地址、护照号码、SPG俱乐部账户信息、出生日期、性别、到达与离开信息、预订日期和通信偏好。 值得注意的是，泄漏信息甚至还包括支付卡号和支付卡有效期，但支付卡号已通过高级加密标准（AES-128）加密。解密支付卡号码需要解锁两项密钥，目前万豪国际无法排除该第三方是否已经掌握这两项密钥。 科技记者Chris Fox评论道，尽管这不是最大的数据泄露事件，但这次的情况也非常糟糕。如果黑客掌握破解密钥即会造成直接损失。 万豪国际集团已向相关执法部门报告此事件，并将继续配合执法部门的调查，并已开始通知相关监管机构。 02 巨额罚款 据消息，马萨诸塞州、纽约州和伊利诺伊州的司法部长很快宣布，他们将调查这起黑客袭击事件。康涅狄格州发言人乔治·杰普森表示他也在调查此事。 隐私律师说，Uber 最近与全美50个州和哥伦比亚特区的总检察长就2016年一起数据泄露事件达成了1.48亿美元的和解，显示出各州的监管影响力。 “万豪在国内最大的风险敞口可能是州司法部长执法行动，” Privacy Counsel LLC管理成员兼律师Paige Boshell称。她说，各州可以“比联邦贸易委员会更快、更准确地采取行动，并相互有效协调，以便更全面地执法”。 各州可以根据其消费者保护法令、数据违反通知标准和数据安全义务来实施隐私保护。 隐私律师表示，更多州的司法部长可能会参与调查万豪是如何处理这一大规模违规行为的。他们表示，根据事件的先后顺序，万豪可能会在政府调查后面临巨额财务处罚和消费者负面情绪。 Jeffer Mangels Butler & Mitchell LLP驻洛杉矶的网络安全合作伙伴罗伯特-布劳恩（Robert Braun）表示，万豪可能面临来自纽约州司法部长的“巨额罚款”。他表示，大规模数据泄露“是国家监管机构出于政治原因非常乐意追查的一类事件”。 金融分析师表示，州检察长调查的成本可能会损害万豪的利润。 穆迪酒店业分析师皮特-特龙贝塔（Pete Trombetta）表示， “万豪集团拥有的喜达屋客房预订数据库数据泄露的近期影响包括与调查相关的直接成本，以及万豪集团可能因数据泄露而面临的任何诉讼或责任。” 并且美国消费者也提起集体诉讼。 03 近年多起信息泄漏 其实在大数据泄漏，网络安全事件层出不穷，像曾经轰动一时的Facebook事件，Uber泄露用户信息事件，都是历历在目的教训。 酒店业界数据泄漏事件也很多次了，早在2013年，华住旗下汉庭等经济型酒店便被曝出过 2000 万条开房记录被泄露，原因是消费者连接酒店Wi-Fi上网提交用户记录进行网页认证时，被为酒店提供服务器的公司第三方服务器实时存储，并因系统漏洞被黑客攻击，最终导致信息泄露。 就在前段时间，华住集团旗下连锁酒店用户信息被曝疑似泄露，包括华住官网注册资料、酒店入住登记的身份信息及酒店开房记录，住客姓名、手机号、邮箱、身份证号、登录账号密码等，共约 5 亿条数据，其中有 1.3 亿人的身份证信息和 2.4 亿条开房记录。 11月初，丽笙酒店发布公告，称会员信息疑似泄露。据估算，至少有10%的丽笙奖励计划会员受到影响。 据报道，数年前，乌云报告称，如家、咸阳国贸、杭州维景国际和驿家365快捷等全部或者部分使用了浙江慧达驿站网络有限公司开发的酒店Wifi管理、认证管理系统。而浙江慧达在服务器上实时存储了这些酒店客户的记录，包括客户名、身份证号、开房日期和房间号等隐私信息。而浙江慧达系统上存在的漏洞使这些信息有被泄露的风险。慧达驿站的无线门户系统存在信息安全加密等级较低问题，有信息泄漏的安全隐患。 目前完好已开始向包括美国、加拿大和英国在内的房客通报了此次数据入侵事件。 鉴于这一数据入侵事件属于欧盟GDPR法规的管辖范畴，如果喜达屋被发现违反了GDPR法规，那么它可能面临高达其全球年收入4%的巨额罚款。[详情]

　　▲当地时间2018年11月30日，美国芝加哥，万豪酒店。万豪国际集团在11月30日宣布其喜达屋客户预订数据库遭黑客攻击数小时后，遭遇了一起消费者集体诉讼。图片来自视觉中国 万豪国际集团11月30日20点35分在其官方微博账号上表示，其公司旗下的喜达屋酒店的一个客房预订数据库被黑客入侵，多达5亿人次的详细信息可能遭到泄露，该事件是否波及中国酒店及中国顾客，目前仍在调查当中。 此次事件共牵涉5亿人次，其中3.27亿人次外泄的信息涵盖了姓名、电话、护照等，论数据泄露的规模体量，在全球互联网领域都相当少见。而且，部分入住者的信用卡支付卡号同时遭遇了泄露，一旦信息被解码，还将给入住者带来财产风险。 数据泄露发生后，万豪第一时间在微博进行了公开，内容相当详尽，并对涉及到的入住者邮件通知，还提供了设立全天候的电话服务中心、建立专门网站等补救措施。这种不掩盖问题的态度，收获了一些点赞。 一方面，它的确表现出了积极善后的诚意，另一方面也得看到，发生如此大面积的用户信息泄露事件，采取各种可能手段，将负面影响降到最低，本就该是标配动作，它是任何为消费者考虑的公司在犯错后都必须履行的义务。 而且尽管黑客入侵导致了数据泄露，并非内外勾结、倒卖信息，但这依然说明，在用户信息的管理上，万豪存在巨大的失职。 根据万豪的通报，第三方入侵早在2014年就发生了，系统漏洞至少存在了四年；另外今年9月8日收到黑客侵入警报，直到11月19日才解密信息，确定泄露的内容来自旗下的喜达屋酒店，反应滞后和应对效率的低下可见一斑。 ▲图片来自视觉中国 值得一提的是，万豪收购喜达屋是在2016年，这几年恰恰是酒店行业高速扩张时期，品牌的体量日益庞大，用户数据也越来越集中在酒店业的头部品牌上。头部酒店掌握的数据规模越来越大，数据泄露的风险等级也逐渐提高，信息条数动辄以亿为单位。 作为行业顶尖品牌，万豪的数据泄露风波，为酒店行业在数据安全防护上的不堪，提供了新的佐证。万豪方面称，将加大投入，逐渐淘汰喜达屋的数据系统。它说明数据维护方面并没有绝对的技术难点，更多时候是酒店抱着侥幸心态，缺少足够的动力去做风险防范。 和不用脏毛巾擦水杯一样，维护信息安全，不是一种看得见的服务品质，因为看不见，所以很容易被“消费降级”。在卫生和用户隐私问题上丑闻频现，说明这个同样被资本催熟的行业的管理体制，存在着莫大的缺陷，它不是某个品牌的个案问题。 此次卷入风波的是万豪酒店，消费门槛相对较高，很多网友高呼因住不起而躲过一劫。其实和五星级酒店用脏毛巾擦水杯一样，行业头部品牌出事，更该追问，那些大众消费得起的普通酒店，在用户信息的管理上是何等粗放？ 另外，虽然是否涉及中国酒店和顾客尚在调查，考虑到万豪在中国有大量的产业布局，我们依旧有足够的理由担心，完全没必要持看热闹的心理。至于万豪方面，也需要尽快彻查，给中国消费者一个说法。 随着酒店行业用户数据泄露成为新闻常态，谈论万豪风波的警醒意义，都显得有些许无力。鉴于酒店行业屡次犯错的事实，必须在对用户信息的管理上，树立起绝对的红线。酒店业的星级评定标准，也该及时升级，将数据库的防护水平纳入考量范围，倒逼酒店加大信息安全投入。[详情]

　　继华住集团旗下连锁酒店用户信息被曝泄露后，又一家酒店巨头万豪也摊上事儿了。 11月30日晚间，针对旗下喜达屋酒店约5亿访客数据被盗事件，万豪集团发布公告称，已采取措施调查和处理涉及喜达屋宾客预订数据库的数据安全事件，目前万豪国际无法排除第三方是否已经掌握能解密客户支付卡号码的两项密钥。 万豪表示，尚未完成对数据库中重复信息的识别，但相信数据库中包含在2018年9月10日或之前曾在喜达屋酒店预订的最多约5亿名客人的信息。这些客人中约有3.27亿人的信息包括如下信息的组合：姓名、邮寄地址、电话号码、电子邮件地址、护照号码、SPG俱乐部账户信息、出生日期、性别、到达与离开信息、预订日期和通信偏好。对于某些客人而言，信息还包括支付卡号和支付卡有效期，但支付卡号已通过高级加密标准（AES-128）加密。解密支付卡号码需要解锁两项密钥，目前万豪国际无法排除该第三方是否已经掌握这两项密钥。对于其他客人而言，信息仅限于姓名，但有时也包括如下数据：邮寄地址、电子邮件地址或其他信息等。 万豪国际集团已向相关执法部门报告此事件，并将继续配合执法部门的调查，并已开始通知相关监管机构。 这并非酒店业界第一起数据泄漏事件，此前，华住集团旗下连锁酒店用户信息被曝疑似泄露，包括华住官网注册资料、酒店入住登记的身份信息及酒店开房记录，住客姓名、手机号、邮箱、身份证号、登录账号密码等，共约 5 亿条数据，其中有 1.3 亿人的身份证信息和 2.4 亿条开房记录。11月初，丽笙酒店发布公告，称会员信息疑似泄露。据估算，至少有10%的丽笙奖励计划会员受到影响。 早在2013 年，华住旗下汉庭等经济型酒店便被曝出过 2000 万条开房记录被泄露，原因是消费者连接酒店 Wi-Fi 上网提交用户记录进行网页认证时，被为酒店提供服务器的公司第三方服务器实时存储，并因系统漏洞被黑客攻击，最终导致信息泄露。 第一财经记者采访了解到，数年前，乌云报告称，如家、咸阳国贸、杭州维景国际和驿家365快捷等全部或者部分使用了浙江慧达驿站网络有限公司开发的酒店Wifi管理、认证管理系统。而浙江慧达在服务器上实时存储了这些酒店客户的记录，包括客户名、身份证号、开房日期和房间号等隐私信息。而浙江慧达系统上存在的漏洞使这些信息有被泄露的风险。慧达驿站的无线门户系统存在信息安全加密等级较低问题，有信息泄漏的安全隐患。 “这次的万豪事件与以往类似事件不一样的严重的问题是，部分客人的支付卡号和支付卡有效期信息也泄露了，如果黑客掌握破解密钥即会造成直接损失。万豪没有公布是否已经与这些客人联系。这次事件再次敲响警钟，网络信息安全措施必须得到进一步的重视了。”华美顾问机构首席知识官、高级经济师赵焕焱告诉第一财经记者。 在一家大型连锁酒店集团工作多年的管理者透露，酒店信息的泄露分为主动和被动，前者是涉及商业利益而由酒店内部人员主动泄露，后者是被外界黑客袭击所致。 “但无论是哪种泄露，根本性是一样的，酒店住客都是登记的真实信息，因此这些数据对于一些商家而言具有很高的商业价值，获得这些数据可以使商家掌握真实的消费者行为和习惯。而对于住客而言，信息的泄露非常危险，涉及隐私。未来，酒店管理公司一定要提升技术，并且在人员培训方面也要加强安全管理，否则类似的事件还会一再发生，这对于酒店的声誉和入住率都会有影响。”赵焕焱指出。 根据市场不完全统计，如今酒店行业整体的入住率和房价都在下滑，就上海地区而言，高星级酒店的平均房价在最近10年间减少了1010元，收益的减少也造成酒店削减各项投入，控制成本，而技术是需要很大投入资金投入的项目，不少业界人士认为，行业收益的下滑也是导致技术投入减少，发生各类风波的原因之一。[详情]

　　【TechWeb】12月1日消息，针对旗下喜达屋酒店约5亿访客数据被盗事件，万豪集团发布公告称，已采取措施调查和处理涉及喜达屋宾客预订数据库的数据安全事件，并已向相关执法部门报告此事件，将继续配合执法部门的调查，并已开始通知相关监管机构。 据了解，2018年11月19日万豪国际调查发现，2018年9月10日及之前喜达屋旗下酒店预订数据库中的宾客信息曾在未经授权的情况下被访问。 2018年9月8日，万豪国际收到一条内部安全工具发出的关于第三方试图访问喜达屋宾客预订数据库的警报。万豪国际在调查过程中了解到，自2014年起，即存在第三方对喜达屋网络未经授权的访问。万豪国际最近发现未经授权的第三方已复制并加密了某些信息，并采取措施试图将该等信息移出。2018年11月19日，万豪国际成功解密该等信息，并确定信息的内容来自喜达屋宾客预订数据库。 万豪国际集团首席执行官苏安励（ArneSorenson）先生表示：“我们对此次事件表示深深的歉意，我们未能确保全球宾客应该享有的服务，也未能达到对自己的要求。我们正在积极采取行动，不遗余力地帮助受影响的宾客。我们将及取事件中的教训，未来不断改进。” 据悉，目前，万豪国际尚未完成对数据库中重复信息的识别，但相信数据库中包含在2018年9月10日或之前曾在喜达屋酒店预订的最多约5亿名客人的信息。 万豪国际方面称，集团已向相关执法部门报告此事件，并将继续配合执法部门的调查，并已开始通知相关监管机构。[详情]

　　 当地时间11月30日，万豪国际宣布，全球5亿万豪与喜达屋旗下酒店用户数据遭遇泄露。目前攻击者的身份尚不确认，但它们窃取的信息包括用户的姓名、邮箱地址、家庭住址、护照号以及可能存在的信用卡信息。 此前大公司遭遇数据泄露的事件屡有发生，不过这起事件令人震惊的是，攻击者的实施进程非常缓慢，竟然用了4年时间，而万豪直到现在才发现，引起舆论质疑，他们甚至质疑万豪与喜达屋在2016年合并后，是否双方的技术安全部门都不作为。 芝加哥大学计算机系专注于数据安全研究的赵燕斌教授对第一财经记者表示：“这起数据泄露最糟糕的部分就在于他们花了四年时间才发现黑客攻击，这是没有借口的。”赵燕斌教授介绍道，背后的原因是，这些公司没有获得足够的激励让他们去做保护用户数据安全的防范措施。“因为安全工具的投入需要花费很大，而在这些公司没有受到足够的惩罚前，他们是不足以对数据安全保护引起重视的。”赵燕斌教授告诉第一财经记者。 赵燕斌教授认为，越来越多的数据泄露案例也再次说明了新的立法和政策的必要性。他向第一财经记者表示：“否则只会让越来越多的企业把这种数据安全保护的失职当做一种新常态。” 用户数据泄露对于企业而言无疑会令其声誉遭到损失，万豪股价周五下跌超过5%。尽管如此，公司在一份8K报告文件中声称他们拥有网络保险，并称通常情况下保险能够很大程度覆盖这类数据泄露所造成的损失。 对此，赵燕斌教授指出：“这就是最大的问题所在，因为酒店可以保证他们不亏钱，但是对于遭受损害的用户来说并没有帮助。”他建议立法者应改变相关法律政策，加大对忽视用户数据保护企业的惩罚力度，并且让保险无法覆盖企业失责的成本，因为只有这样才能引起这些商家的重视。 2016年，万豪收购了喜达屋旗下包括W酒店、瑞吉酒店和喜来登酒店等众多品牌，这也对公司在对用户数据保护方面的投资提出新的挑战，尤其是公司在合并竞争对手前应该如何对其网络安全状况做好尽职调查，以免在合并后出现大规模的数据安全漏洞。 类似的案例屡有发生。比如在运动装备公司Under Armour收购MyFitnessPal之后，上周后者曝出数据泄露，涉及超过1.5亿用户；而联邦快递在收购了TNT后，也发生过类似的数据安全事件。在酒店行业，去年洲际酒店和Hyatt酒店也曾成为网络攻击的受害者。Hyatt称，他们发现在一些特定地点的用户信用卡信息被未经授权地进入，涉及全球11个国家的41家酒店。今年早些时候，新加坡医疗保健集团（Sing Health）也遭受攻击，并造成150万名患者个人医疗记录外泄。 对此，研究机构Gartner指出：“这类事件更加体现出将敏感数据和IT系统列为重要基础架构的必要性。而安全与风险管理必须成为所有数字化商务计划当中重要的一部分。”Gartner今年早些时候数据预测，2018年全球信息安全产品及服务支出将超过1140亿美元，较去年增加12.4%；预计2019年安全市场将持续增长8.7%，达1240亿美元。这些安全的需求将影响多个部门，例如身份识别和存取管理，以及数据外泄防护等。[详情]

　　 新浪美股讯 北京时间12月1日，喜达屋地产信托（Starwood Property Trust）表示，该公司与万豪国际（Marriott International）无关，也没有受到万豪涉及其Starwood品牌酒店客房预订数据库的数据泄露的影响。 喜达屋地产信托（Starwood Property Trust）股价早些时候重挫1.8%，为10月10日以来最大跌幅。[详情]

　　 新浪美股讯 北京时间12月1日，万豪国际集团如果未能妥善保护客人的个人信息，可能会被处以数百万美元的国家罚款。此前该公司披露了一起黑客攻击事件，称该事件可能影响了5亿名客人。 马萨诸塞州、纽约州和伊利诺伊州的司法部长很快宣布，他们将调查这起黑客袭击事件。康涅狄格州发言人乔治·杰普森表示他也在调查此事。 隐私律师说，Uber 最近与全美50个州和哥伦比亚特区的总检察长就2016年一起数据泄露事件达成了1.48亿美元的和解，显示出各州的监管影响力。 “万豪在国内最大的风险敞口可能是州司法部长执法行动，” Privacy Counsel LLC管理成员兼律师Paige Boshell称。她说，各州可以“比联邦贸易委员会更快、更准确地采取行动，并相互有效协调，以便更全面地执法”。 各州可以根据其消费者保护法令、数据违反通知标准和数据安全义务来实施隐私保护。 隐私律师表示，更多州的司法部长可能会参与调查万豪是如何处理这一大规模违规行为的。他们表示，根据事件的先后顺序，万豪可能会在政府调查后面临巨额财务处罚和消费者负面情绪。 Jeffer Mangels Butler & Mitchell LLP驻洛杉矶的网络安全合作伙伴罗伯特-布劳恩（Robert Braun）表示，万豪可能面临来自纽约州司法部长的“巨额罚款”。他表示，大规模数据泄露“是国家监管机构出于政治原因非常乐意追查的一类事件”。 金融分析师表示，州检察长调查的成本可能会损害万豪的利润。 穆迪酒店业分析师皮特-特龙贝塔（Pete Trombetta）表示， “万豪集团拥有的喜达屋客房预订数据库数据泄露的近期影响包括与调查相关的直接成本，以及万豪集团可能因数据泄露而面临的任何诉讼或责任。” 万豪在11月30日提交给美国证券交易委员会（SEC）的一份文件中披露了这一漏洞。该公司表示，这一漏洞触及了2018年9月10日或之前的预订信息。 万豪在文件中说，它在11月19日发现了这一漏洞，并在一次内部调查中得知，自2014年以来，喜达屋的网络遭到了未经授权的访问。 喜达屋表示，在该公司5亿名客人中，约3.27亿人的护照号码、电子邮件和其他个人数据可能被窃取。信用卡和支付卡数据也可能被盗。 纽约总检察长芭芭拉-安德伍德（Barbara Underwood）的发言人暗示，她对万豪对此事的回应不满意。隐私律师说，这可能意味着万豪不会毫发无损地从纽约的调查中脱身。 安德伍德办公室的公关总监艾米-斯皮塔尔尼克（Amy Spitalnick） 11月30日在Twitter上写道，“根据纽约法律，万豪酒店被要求在发现违规行为时向我们的办公室提供通知；他们到目前为止还没有这样做，” 伊利诺斯州司法部长莫拉-希利（Maura Healey）在一份电子邮件声明中证实，该州正在调查万豪酒店的违规行为。“可能泄露了数百万人的信息，公众理应知道此事是如何发生的。” [详情]

　　新浪美股讯 北京时间12月1日，万豪国际集团披露了一起涉及其喜达屋子公司数据库的黑客攻击事件，凸显出并购交易中隐藏的网络安全风险。 万豪在2016年以136亿美元收购了喜达屋。该公司11月30日宣布，自2014年以来，它在喜达屋的客户预订数据库中发现了多达5亿名客人信息被未经授权访问。 即便是对目标进行彻底审查的公司，也无法完全避免它们正在承受风险的可能性。 目标公司系统中的数据泄露可能会给收购公司的声誉带来无形的损害成本，同时也会给发现和补救黑客行为带来实际代价。而那些没有充分意识到自己在购买什么东西的公司，可能会因为数据泄露而面临诉讼，这可能需要数年的时间。 “这是一次大规模的数据泄露，减轻损失的成本也将是巨大的，”Wiggin and Dana LLP律师事务所合伙人、司法部前联邦检察官戴维-霍尔（David L． Hall）表示。“万豪可能会面临来自受影响客户的诉讼，包括集体诉讼。” 万豪酒店11月19日确定，被盗数据包含喜达屋预订数据库的信息。该公司说，在3.27亿名宾客中，包括姓名、邮寄地址、电话号码、电子邮件地址和护照号码等信息。一些客人的加密信用卡信息可能被泄露。 喜达屋在2015年警告客户，包含信用卡和借记卡数据的系统存在安全漏洞。这一声明就在万豪与喜达屋达成协议的几天后。 企业越来越明白，在交易过程中需要进行强有力的尽职调查。过去几年，环境风险评价已经成为一个关键问题，它可能改变交易进程，改变收购价格，或彻底摧毁交易。企业及其律师将严格审查视为谈判的重要组成部分。 隐私和网络安全问题“终于被交易律师认可，可能对交易产生巨大影响，”霍顿安德鲁斯库尔斯律师事务所全球隐私和网络安全小组合伙人兼主席丽莎-索托（Lisa J． Sotto）表示。 买家可以查看目标公司过去的入侵或网络安全事件，评估该公司的数据资产，并进行渗透测试和漏洞评估。 Verizon收购雅虎公司就是一个例子，说明公司可以为违规行为付出代价。雅虎披露了与Verizon合并的计划中出现的大规模数据泄露，导致收购价下降3.5亿美元。 企业越来越多地在并购文件中加入明确的网络安全条款。 万豪和喜达屋的合并交易是在雅虎遭黑客攻击的消息被披露之前签署的，其中没有明确的网络安全条款。自从Verizon根据雅虎的数据泄露事件重新谈判收购雅虎的交易以来，更多的并购方都加入了安全条款，收购方现在在交易结束前对目标进行更广泛的系统评估。[详情]

　　 新浪美股讯 北京时间12月1日，黑客想要的不仅仅是你的信用卡号码，想要的是你的积分。万豪国际集团周五披露，正在调查黑客如何从5亿名客人那里窃取数据，这是针对规模2380亿美元的忠诚度行业的最新一起欺诈案。黑客们发现，越来越容易进入奖励门户网站，用消费者辛苦赚来的积分和里程换取礼品卡或酒店住宿。 帮助零售商打击欺诈的福特公司（Forter）首席执行官迈克尔-雷特布拉特（Michael Reitblat）表示：“骗子很容易用掉积分。越来越多的公司提供积分，因为这确实会造成重复购买的习惯，但一旦暴露出来，就会变成一个巨大的负担。” 万豪周五表示，黑客在过去四年里侵入了多达5亿名喜达屋酒店客人的记录，其中包括护照号码、旅行记录、忠诚度计划账户和加密信用卡数据。万豪在2016年收购了喜达屋酒店及度假村集团，并在今年早些时候完成了两家公司奖励计划的整合。由于监管机构、投资者和客户对黑客攻击的影响进行了评估，万豪的股价下跌了6.9%。 万豪加入了希尔顿全球控股有限公司和英国航空公司等航空公司和连锁酒店的行列，它们不得不应对因数据泄露而导致的忠诚度流失。据Chargebacks911（一家帮助商家处理欺诈的风险缓解公司）统计，美国消费者在这类项目中拥有33亿会员，每年可获得大约480亿美元的积分和里程。大约72%的忠诚计划经历过欺诈。  益百利公司（Experian Plc）的数据显示，与这些程序相关的数据对犯罪分子来说变得越来越有价值：在暗网中，消费者的社会保险号通常售价为1美元，而忠诚度账户信息的售价是这个价格的20倍。 它的工作原理是这样的：当骗子获得了客户的忠诚度账户后，最简单的回报就是用积分或里程兑换礼品卡，或从该程序的购物门户网站购买实物商品。在某些情况下，积分将被兑换成酒店住宿或航班，这些积分随后将被取消，以换取礼品卡。与信用卡发行商不同，忠诚计划运营商可能没有义务让被欺诈的客户得到补偿。 保险公司Beazley Plc的违约响应服务负责人凯思莲-基夫（Katherine Keefe）周五接受采访时说，“虽然有了信用卡号码，但罪犯只有用户在打电话给发卡行要求换卡之前很短的时间内来使用这张卡，所以可以造成的损害是有限的。” 在打击欺诈方面，酒店、航空公司和零售商往往处于不利地位，因为它们希望让客户更容易获得奖励——这意味着黑客也可以更容易地访问账户。顾客也不太经常查看他们的忠诚度账户，这意味着他们不太可能注意到自己的积分被盗。 “这是一个值得关注的全新领域，”Kobie Marketing首席战略官Dave Andreadakis说，“骗子们越来越老练，也越来越了解到，这是可以用来欺诈的工具。” 忠诚度欺诈的增加导致了保险范围的变化。据CFC承销有限公司的Lindsey Nelson说，一些保险公司一直在增加保险范围，以帮助它们的企业客户减轻黑客攻击后客户流失造成的财务损失。 CFC的国际网络团队主管Nelson表示：“就奖励和忠诚度计划而言，客户可能是任何组织的最大资产，但一旦出现漏洞，可能会对未来的销售产生严重影响，而这一点在网络策略中被忽视了。”  保险经纪公司达信网络产品负责人Robert Parisi说，并非每一项网络策略都会为声誉损失提供保护，但近年来越来越多的保险公司提供了这种保护。帕里西拒绝就万豪的具体情况置评。 [详情]

　　 新浪美股讯 北京时间12月1日，虽然万豪数据泄露事件影响了其喜达屋预订数据库中多达5亿名客人的数据，但标准普尔预计万豪的财务状况不会受到太多影响。不过这家评级机构在一份声明中表示，更难以量化的是潜在的声誉风险。 万豪表示，万豪将能够通过实施计划，帮助受影响的客人监控他们的信息，逐步淘汰喜达屋系统，并加快实施安全增强措施，从而缓解近期的影响。 标准普尔表示，数据泄露可能会对万豪的财务状况产生温和影响。 [详情]

　　 新浪美股讯 北京时间12月1日，万豪国际集团在11月30日宣布其喜达屋客户预订数据库遭黑客攻击数小时后，遭遇了一起消费者集体诉讼。 这次信息泄露涉及2014年以来5亿名客户的信息，其中包括一些护照号码和信用卡信息。万豪在11月19日发现了这一安全漏洞。 这很可能是针对这一漏洞提起的数十起集体诉讼中的第一起。 哈里-贝尔（Harry Bell）和爱德华-克拉菲（Edward Claffy）指控该公司疏于处理客户数据，违反了他们的信心，而且等了太久才通知他们。 诉讼称，万豪提出的一年信用监控计划是不够的，因为它无法保护客人的个人信息免受长期威胁。 万豪没有立即回复记者的置评请求。 Murphy， Falcon & Murphy P.A．和Morgan & Morgan Complex诉讼集团代表消费者提起了诉讼。 [详情]

　　 新浪美股 北京时间12月1日讯，万豪国际（Marriott International）昨日证实，喜达屋（Starwood）客房预订数据库遭到破坏，可能危及5亿名酒店客人的敏感个人数据。 据悉，今年9月8日，万豪国际就收到了一份事故警报，显示有人试图访问喜达屋的客房预订数据库。随后的调查揭示了一个令人震惊的事实：早在2014年，就有人设法非法进入喜达屋网络。 万豪国际在今日发布的一份声明中证实，该侵入者复制并加密的信息已被解密，并被发现包含喜达屋客房预订处的个人信息数据包。发现的数据包括姓名、邮寄地址、电话号码、电子邮件地址、护照号码、喜达屋首选客户账号信息、出生日期、性别、到达和离开信息、预订日期以及在喜达屋集团旗下酒店预订的客人的沟通偏好。 真正令人震惊的是，万豪国际认为，这个尚未完全解密的加密数据库包含大约5亿份宾客记录。其中约3.27亿包括此前提到的多种数据包。 万豪披露的信息中还披露了一些“信息还包括支付卡号和支付卡有效期”。虽然这些支付卡号是使用AES-128加密的，但万豪表示，无法排除攻击者已经访问了解密这些卡号所需的组件。 任何在今年9月10日或之前预订喜达屋物业的人，都有信息被泄露的可能。万豪将用官方邮箱starwoodhotels@email-marriott.com给所有可能受到影响的人发电子邮件，地址是starwoodhotels@email-marriott.com。请注意，这个地址很重要，很可能会有钓鱼者利用围绕泄露通知发送假冒的警告邮件来钓鱼。 万豪的声明中，包括了那些数据库已沦为威胁行为受害者的公司如今再熟悉不过的道歉：“万豪对这起事件的发生深感遗憾。”人们对“我们迅速采取行动遏制了这起事件，并在安全专家的协助下进行彻底调查”等说法仍很熟悉。 然而，客人和更多的游客想知道的是，这一切最初是如何发生的。我怀疑特别是在主要披露本身的最后一段中有很大线索。声明称，万豪“支持执法部门的努力，并与领先的安全专家合作改进”，然后又出人意料地承认，万豪“正投入必要的资源，逐步淘汰喜达屋系统，并加快我们网络正在进行的安全改进”。 正如Outpost24的产品经理Simon Roe所指出的那样，“组织需要将新获得的基础设施、应用程序和系统视为业务关键风险，直到它们能够识别和映射新的、扩展的攻击表面并优先考虑降低风险。”我担心，对于5亿客人来说，这个建议太少且太晚了。 AlienVault的安全倡导者贾维德•马利克（Javvad Malik）似乎也同意这一点。“信用卡数据库加密固然很好，但是，如果根据该公司的泄露文件攻击者能够解密密钥，那么这一切依然是徒劳的”Malik说，并补充说这是“这些数据相当于在前门的脚垫下留下钥匙。” 鉴于2016年喜达屋与万豪的合并，这也让万豪处于一个潜在的危险境地，而与此同时，这起违约显然正在顺利进行。“万豪在宣布收购喜达屋（Starwood）之前两年多发生了一起网络安全事件，如今该公司正面临品牌和声誉受损、监管监管和法律问题，“弗雷斯特公司的首席分析师杰夫·波拉德说，他继续说“网络安全入侵具有长尾效应，这将给万豪带来意想不到的成本。”这也会给那些资料被盗的客人带来意想不到的损失。 CensorNet首席执行官埃德•麦克奈尔建议，任何被此次违规行为牵连的人，“最好与一家信用检查服务机构签约，以确保他们的个人信息没有被不当使用。”MacNair还建议，“为使用相同登录细节的其他账户更改密码也是明智的。” Trusted Knight公司威胁情报官员特雷弗·雷施克（Trevor Reschke）警告说，“这5亿人的详细信息极有可能在网上被出售。”瑞斯克的结论是，任何在过去几年入住喜达屋或万豪酒店并经历过某种欺诈行为的人，无论是信用卡信息被盗还是身份被盗，都可能会发现这一漏洞“被用来增加罪犯成功的机会”。[详情]

　　 新浪科技讯 北京时间12月1日凌晨消息，万豪酒店事件波及人数之广以及其自身的星级品牌效应绝对引起人们的关注：5亿消费者受到影响，包括可能曾经入住遍布全球的万豪酒店和喜达屋产业的任何消费者。 在持续四年的缓慢入侵中，不明身份的黑客窃取了包括电子邮件，姓名，地址，护照号码和可能包括的支付卡信息在内的信息。 除了以下两个关键问题外，这个入侵行为本身并不罕见： 1、为什么酒店的安保系统在被入侵四年后才能检测到？ 2、2016年万豪和喜达屋之间的巨头合并是否导致两家公司都疏忽了对公司层面技术和安保的风险？ 声誉损失将比酒店财务损失更大 周五，万豪股票在其上市的全部市场都下跌约5%。 但分析师似乎最初并不关心财务影响：“对品牌潜在影响的不确定性可能会对今天的交易情绪造成压力，”RBC Capital Markets的Wes Golladay今早在一份分析师声明中写道。然而，“就像其他公司已经解决了大数据泄露问题一样，我们希望[万豪]也已经做到了，”他说。 在该公司今天一份8K的文件中，万豪表示其有购买网络保险。该公司表示正在调查该保险在这起事件里面覆盖到什么范围。但在大多数情况下，保险大大抵消了这类入侵行为的成本。 该公司表示，这起事件的大部分细节尚不清楚，并有待调查。该公司表示正在调查网络攻击的各个方面，包括它是如何发生的，是否访问了未加密的支付数据，或者为什么在2014年入侵开始时安保程序没有被激活，以及其他细节。 但客户和投资者可能会更加担心发现入侵行为所需的时间，以及这对公司现有的安保投资意味着什么。 与大多数处理敏感财务数据的大公司一样，万豪拥有先进的网络安全计划，拥有可以访问顶级安全供应商的权限和工具。明显来自单一的源头这一次的入侵，在监控下持续四年是一件大事。万豪几乎肯定会进行内部审查，以找出哪些安保产品失效以及如何失效。 这起影响了喜达屋客户预订数据库的事件，也可能会引来质疑。那就是，万豪在与竞争对手喜达屋的合并之前是如何进行网络安全尽职调查。 2016年的合并使W酒店，喜来登和圣瑞吉酒店品牌进入万豪酒店旗下。 近年来，有数家公司在合并后遭遇重大挫折，被收购公司成为入侵行为的受害者，包括Under Armour（MyFitnessPal）和FedEx（TNT Express）。 随着有关万豪事件的更多细节的出现，董事会和投资者将会质疑，在和喜达屋合并交易后，相关的安全和技术系统是如何合并的，安全团队如何组建以及他们在合并交易后如何相互沟通，以及与哪些安全供应商签订合同以及这些协议是否正在发生变化。（晓楠） [详情]

　　酒店集团接连发生信息泄露，谁来敲响安全警钟？ 11月30日，万豪国际集团发布公告，称喜达屋的预订数据库发生信息泄露，最多可涉及5亿名宾客的个人信息，而这已是近期酒店业内发生的第三起信息泄露事件。背后原因，仍在于酒店始终将客房和床位视作收入来源，忽视了后台系统建设。 喜达屋发生信息泄露，最多涉及5亿人 11月30日，万豪国际集团的一则公告再度掀起公众对于酒店信息安全的关注。在公告中，万豪国际集团称旗下喜达屋的客户预订数据库发生信息泄露。消息公布后，万豪国际周五开盘跌幅一度达到6.64%。 在今年9月8日，万豪国际集团收到了内部安全工具发布的警报。万豪酒店在随后的调查中发现，自2014年起，便有第三方对喜达屋的网络进行未经授权的访问。目前，未经授权的第三方已复制并加密了某些信息，且采取措施试图将该信息移出。11月19日，万豪终于将该信息解密，确定这部分信息来自于喜达屋的宾客预订数据库。 目前，曾在喜达屋酒店预订的客人的个人信息或被泄露，而涉及人数最多将达到5亿人。这些个人信息包括姓名、邮寄地址、电话号码、电子邮件地址、护照号码、出生日期等等，还包括部分支付卡号和支付卡到期日期。据称，要解密支付卡号码仍需要两项密钥，但万豪方面也不排除这两个密钥都已被第三方掌握的可能性。 万豪国际集团首席执行官Arne Sorenson对此表示：“我们在尽一切努力为客人提供支持，将汲取事件教训，未来不断改进。”万豪目前正在逐渐淘汰喜达屋的系统，并加速提升网络安全的相关工作。 忽视信息化投资价值，埋藏安全隐忧 这已是近期酒店行业内的第三起信息泄露事件。今年8月，华住酒店集团约5亿条用户数据被曝在暗网售卖，随后华住宣布已经报警。9月，华住发布公告，称嫌疑人已被警方抓获，数据尚未被售出。11月初，丽笙酒店发布公告，称会员信息疑似泄露。据估算，至少有10%的丽笙奖励计划会员受到影响。 相较于其他行业，酒店后台系统往往存在诸多安全隐患。在一份于2015年发布的安全报告中，提及包括喜达屋、洲际、万豪、锦江在内的多家酒店，均被查出有安全漏洞存在，其中部分酒店甚至可以被任意查询、取消订单。 对此，有业内人士指出，酒店管理系统开放的接口较多，在管理和保障方面不具备优势，因而存在被入侵的可能。同时，酒店行业IT人才缺乏，待遇也相对较低，留不住人才，为酒店信息安全埋下又一重隐患。 不过，酒店安全问题的根本原因，依然与经营理念脱不了干系。前瞻产业研究院分析指出，大多数酒店经营者认为酒店属于传统的服务行业，主要是靠出租客房和床位来创收，通常把投资信息化与投资房间内的设施（如增添浴缸或沙发）的投资回报等同看待，没有把信息化建设与影响和改善酒店的经营、管理效率等方面的功效挂钩。 [详情]

　　万豪国际已建立专门网站 info.starwoodhotels.com 和电话服务中心（400-120-0845） 回应宾客对此次事件的咨询 来源：万豪礼赏 [详情]

　　新京报讯（记者张泽炎）针对万豪集团5亿人次客户详细信息或遭泄露事件，11月30日，新京报记者第一时间独家采访万豪集团。对方表示，目前对于该事件是否波及中国酒店及中国顾客仍在调查当中，目前所有信息都在官方微博和官网上。 对于信息遭到泄露或可能遭到泄露的顾客，万豪集团表示，该公司目前已经给受到影响的顾客开始发送邮件，并向他们说明现在的事件进展。当记者询问针对泄露事件有何补救措施时，万豪集团表示目前此事件仍处在调查当中，进一步消息还会通过官方网站通知。 国际连锁酒店万豪集团11月30日20点35分在其微博账号上表示，其公司旗下的喜达屋酒店的一个客房预订数据库被黑客入侵，多达5亿人次的详细信息可能遭到泄露。其中高达3.27亿人次的泄露信息包括其名字、邮寄地址、邮箱地址、电话号码、护照号码、SPG俱乐部账户信息、出生日期、性别、到达和离店信息、预订日期和通信偏好等。 还有一些入住者的信用卡信息可能遭到了泄露，其中包括支付卡号和支付卡有效期。尽管解密这些信息需要解锁两项密钥，但该公司表示不排除信息被解码的可能性。目前，该公司已经向相关执法部门报告此事件，并继续调查。 受此事件影响，周五开盘，万豪国际股价大跌超6%。 万豪国际酒店官网显示，其旗下品牌包括丽思卡尔顿酒店、瑞吉酒店、JW 万豪酒店、丽思卡尔顿隐世精品度假酒店、豪华精选酒店、W 酒店等多个品牌酒店。 记者张泽炎 校对范锦春 [详情]

　　 新浪美股讯 北京时间12月1日，纽约州检察官芭芭拉·安德伍德（Barbara Underwood）对万豪周五早上宣布的喜达屋宾客登记系统遭黑客攻击一事展开调查。 虽然一位分析师表示，他预计这起丑闻不会对万豪的股价产生长期影响，但柯文集团（Cowen）的分析师警告说，这可能会影响喜达屋忠诚度计划的注册人数。该计划被视为喜达屋最成功的资产之一。 这对万豪的股东来说是个坏消息（对Airbnb的风投支持者来说也是个好消息）。 万豪集团股价周五下跌逾5%，此前该连锁酒店宣布，喜达屋酒店的客户登记系统发生了大规模数据泄露的消息。万豪于2016年9月收购了喜达屋酒店。 根据一份新闻稿，万豪表示，被盗的数据库中有多达5亿名在喜达屋酒店预订的客人的信息。泄露的信息包括敏感细节，包括他们的护照号码（适用于在外国酒店预订的人）、姓名、出生日期、预订日期、电子邮件地址和邮寄地址。这次泄露至少可以追溯到2014年9月——喜达屋被万豪收购之前——并一直持续到今年9月。部分受影响的信用卡卡号和信用卡到期日也被盗，但信用卡卡号采用高级加密标准加密。 从数量上看，喜达屋酒店遭受的黑客攻击是自雅虎宣布大约30亿用户的信息被黑客窃取以来规模最大的一次。今年9月，当一个安全工具警告称有黑客试图侵入时，万豪酒店才意识到这一问题。经过调查，该公司了解到黑客一直在访问其客户注册系统的数据，甚至试图删除和加密这些数据。 就像之前Equifax和其他重大数据泄露一样，黑客攻击的消息肯定会引发许多问题，诸如万豪知道什么，什么时候知道的，喜达屋是否应该在IPO之前知道并披露这些信息，以及对那些受影响的人的影响到底有多大。 万豪已将其全球预订系统遭黑客攻击一事通知英国信息专员办公室。  监管机构表示：“我们已收到万豪酒店的一份数据泄露报告，涉及其喜达屋酒店，我们将进行调查。”它要求任何受到黑客攻击影响的相关客户报告任何可疑活动。 [详情]

　　万豪：正给信息遭泄露顾客发邮件，是否涉及中国尚在调查 新京报讯（记者张泽炎）针对万豪集团5亿人次客户详细信息或遭泄露事件，11月30日，新京报记者第一时间独家采访万豪集团。对方表示，目前对于该事件是否波及中国酒店及中国顾客仍在调查当中，目前所有信息都在官方微博和官网上。 对于信息遭到泄露或可能遭到泄露的顾客，万豪集团表示，该公司目前已经给受到影响的顾客开始发送邮件，并向他们说明现在的事件进展。当记者询问针对泄露事件有何补救措施时，万豪集团表示目前此事件仍处在调查当中，进一步消息还会通过官方网站通知。 国际连锁酒店万豪集团11月30日20点35分在其微博账号上表示，其公司旗下的喜达屋酒店的一个客房预订数据库被黑客入侵，多达5亿人次的详细信息可能遭到泄露。其中高达3.27亿人次的泄露信息包括其名字、邮寄地址、邮箱地址、电话号码、护照号码、SPG俱乐部账户信息、出生日期、性别、到达和离店信息、预订日期和通信偏好等。 还有一些入住者的信用卡信息可能遭到了泄露，其中包括支付卡号和支付卡有效期。尽管解密这些信息需要解锁两项密钥，但该公司表示不排除信息被解码的可能性。目前，该公司已经向相关执法部门报告此事件，并继续调查。 受此事件影响，周五开盘，万豪国际股价大跌超6%。 万豪国际酒店官网显示，其旗下品牌包括丽思卡尔顿酒店、瑞吉酒店、JW 万豪酒店、丽思卡尔顿隐世精品度假酒店、豪华精选酒店、W 酒店等多个品牌酒店。 记者张泽炎 校对范锦春 [详情]

　　万豪酒店数据库被黑，5亿用户开房信息或外泄 11月30日，万豪国际集团发布声明称，公司旗下喜达屋酒店的一个客房预订数据库被黑客入侵，在2018年9月10日或之前曾在该酒店预定的最多约5亿名客人的信息或被泄露。受上述消息影响，截至发稿，万豪国际跌近5%，报115.96美元。 声明称，其中约有3.27亿人的信息包括如下信息的组合：姓名、邮寄地址、电话号码、电子邮件地址、护照号码、SPG俱乐部账户信息、出生日期、性别、到达与离开信息、预订日期和通信偏好。有部分客人的信用卡信息也可能遭到了泄露，包括支付卡号和支付卡有效期，但支付卡号已通过高级加密标准（AES-128）加密。解密支付卡号码需要解锁两项密钥，目前万豪国际无法排除该第三方是否已经掌握这两项密钥。 万豪国际表示，已向相关执法部门报告此事件，并将继续配合执法部门的调查，并已开始通知相关监管机构。 [详情]

　　又一家酒店数据库被黑！喜达屋旗下酒店5亿信息泄露 21世纪经济报道 21财经APP 杨悦祺 深圳报道 酒店用户数据泄露事件频发，再敲信息安全警钟。 11月30日，万豪国际集团对外公布，喜达屋旗下酒店的客房预订数据库被黑客入侵，在2018年9月10日或之前曾在该酒店预定的最多约5亿名客人的信息或被泄露。万豪国际集团已向相关执法部门报告此事件，并将继续配合执法部门调查，并已开始通知相关监管机构。 据了解，该黑客入侵了喜达屋预订数据库，喜达屋系包括瑞吉酒店、威斯汀酒店、喜来登酒店和W酒店等。 根据万豪公开信息表示，9月8日，万豪国际收到一条内部安全工具发出的关于第三方试图访问喜达屋宾客预定数据库的报警。万豪国际在调查中了解到，自2014年起，就存在第三方对喜达屋网络未经授权的访问。万豪国际最近发现未经授权的第三方已复制并加密了某些信息，并采取措施试图将该等信息移出。11月19日，万豪国际成功解密该信息后才确定这些信息来自喜达屋宾客预定数据库。 万豪表示，他们目前尚未完成对数据库中重复信息的识别，但相信此次涉及信息泄漏的数据库中，包含2018年9月10日或之前曾在喜达屋酒店预定的最多5亿名客人的信息。约有3.27亿客人的姓名、电话号码、电子邮件地址、护照号码、出生日期以及到达和离开信息。同时，还有数百万客人的支付卡号和支付卡有效期信息。万豪表示，信用卡号码信息经过高级加密，目前无法确认黑客是否能够解密信用卡号码。 消息公布后，万豪国际周五美股盘前跌逾5%，截至发稿报115.9美元。 今年，酒店用户数据泄露事件频发。 10月30日，丽笙酒店集团（Radisson Hotel Group）通知其奖励计划会员，其个人信息可能已在一次数据泄漏事件中暴露。根据英国科技新闻网站The Register的报道，此次丽笙酒店被黑客攻击是在9月11日，而丽笙的IT人员是在数周之后（10月1日）才确认此事，并于10月30日开始向参与奖励计划的会员发送电子邮件通报事件情况。 8月28日，本土酒店品牌华住集团旗下连锁酒店发生用户数据泄露。在暗网，一位ID名为“helen250”的用户发帖出售1.3亿名华住旗下酒店入住用户数据包，泄露数据总数达到5亿条。随后，经警方查证，犯罪嫌疑人利用黑客手段窃取华住集团旗下酒店数据并在境外网站兜售，但未交易成功。 最近几年里，许多大型连锁酒店都遭遇了数据泄露，其中包括凯悦酒店（Hyatt）、洲际酒店（InterContinental）、拉斯维加斯硬石酒店及赌场（Hard Rock Hotel & Casino Las Vegas）、特朗普酒店（Trump Hotels）、千禧酒店及度假村（MillenniumHotels）及欧姆尼酒店（Omni Hotels）。  [详情]

　　 万豪酒店：客房数据库遭黑客入侵 已向执法部门报告 新浪科技讯 11月30日晚间消息，万豪国际集团官方微博发布声明称，喜达屋旗下酒店的客房预订数据库中的宾客信息曾在未经授权的情况下被访问。该数据库包含最多约5亿名客人的信息，这些信息甚至可能包括支付卡号和支付卡有效期。 万豪国际声明称，已向相关执法部门报告此事件，并将继续配合执法部门的调查，并已开始通知相关监管机构。 以下为万豪国际集团公布喜达屋宾客预订数据库安全事件相关信息： 美国马里兰州贝塞斯达-2018年11月30日，万豪国际集团已采取措施调查和处理涉及喜达屋宾客预订数据库的数据安全事件。2018年11月19日万豪国际调查发现，2018年9月10日及之前喜达屋旗下酒店预订数据库中的宾客信息曾在未经授权的情况下被访问。 2018年9月8日，万豪国际收到一条内部安全工具发出的关于第三方试图访问喜达屋宾客预订数据库的警报。万豪国际迅速聘请了权威安全专家帮助确定已发生的情况。万豪国际在调查过程中了解到，自2014年起，即存在第三方对喜达屋网络未经授权的访问。万豪国际最近发现未经授权的第三方已复制并加密了某些信息，并采取措施试图将该等信息移出。2018年11月19日，万豪国际成功解密该等信息，并确定信息的内容来自喜达屋宾客预订数据库。 目前，万豪国际尚未完成对数据库中重复信息的识别，但相信数据库中包含在2018年9月10日或之前曾在喜达屋酒店预订的最多约5亿名客人的信息。这些客人中约有3.27亿人的信息包括如下信息的组合：姓名、邮寄地址、电话号码、电子邮件地址、护照号码、SPG俱乐部账户信息、出生日期、性别、到达与离开信息、预订日期和通信偏好。对于某些客人而言，信息还包括支付卡号和支付卡有效期，但支付卡号已通过高级加密标准（AES-128）加密。解密支付卡号码需要解锁两项密钥，目前万豪国际无法排除该第三方是否已经掌握这两项密钥。对于其他客人而言，信息仅限于姓名，但有时也包括如下数据：邮寄地址、电子邮件地址或其他信息等。 万豪国际集团已向相关执法部门报告此事件，并将继续配合执法部门的调查，并已开始通知相关监管机构。 万豪国际集团首席执行官苏安励（ArneSorenson）先生表示：“我们对此次事件表示深深的歉意，我们未能确保全球宾客应该享有的服务，也未能达到对自己的要求。我们正在积极采取行动，不遗余力地帮助受影响的宾客。我们将及取事件中的教训，未来不断改进。” “今天，万豪国际集团向全球宾客重申我们的承诺。我们正努力确保宾客能够通过专门的网站和电话服务中心获得有关其个人信息问题的回应。我们会继续全力支持执法部门的工作，并与权威安全技术专家合作进行改进。此外， 我们正在投入必要的资源，逐步淘汰喜达屋系统，加速提升网络安全的相关工作。”苏安励（ArneSorenson）先生补充道。 宾客支持万豪国际已采取以下措施，协助宾客监测与保护个人信息： 专门网站及电话服务中心·我们己建立专门网站（info.starwoodhotels.com）和电话服务中心（400-120-0845），回应宾客对此次事件的咨询。info.starwoodhotels.com上也将实时更新宾客的常见问题。电话服务中心每周工作七天，以多种语言提供服务。电话服务中心起初可能会收到大量来电，希望您能耐心等候。 邮件通知·11月30日起，万豪国际集团将向预留了邮箱信息并受此事件影响的喜达屋宾客发送电子邮件，告知此次事件的情况。 免费注册WebWatcher·万豪国际将为宾客提供一年免费注册WebWatcher监控工具的机会。WebWatcher将监测涉及共享个人信息的网站，如发现宾客的任何个人信息泄露将会向宾客发出风险提示。由于相关法规以及其他原因，WebWatcher或类似产品尚未能向所有市场提供。如欲启用WebWatcher，请前往info.starwoodhotels.com，若宾客所属国家和地区在列，请注册使用。 万豪国际正向美国证券交易委员会提供8-K报告，其中附有本新闻稿及与本事件相关的其他信息。 *喜达屋旗下品牌包括：W酒店（WHotels）、瑞吉酒店（St.Regis）、喜来登酒店与度假村（SheratonHotels&Resorts）、威斯汀酒店与度假村（WestinHotels&Resorts）、源宿酒店（ElementHotels）、雅乐轩酒店（AloftHotels）、豪华精选酒店（TheLuxuryCollection）、臻品之选酒店（TributePortfolio）、艾美酒店与度假村（LeMéridienHotels&Resorts）、福朋喜來登酒店（FourPointsbySheraton）及设计酒店（DesignHotels）。喜达屋分时度假酒店亦包括其中。 [详情]

　　 新浪美股讯 北京时间11月30日，万豪国际周五表示，自2014年以来，黑客非法侵入了喜达屋酒店品牌的预订数据库，可能会泄露约5亿名客人的个人信息。 该公司股价开盘跌超6%，至113美元左右。 该公司表示，对于3.27亿名宾客来说，个人信息被盗用可能包括护照信息、电话号码和电子邮件地址。对另一些人来说，它可能包括信用卡信息。 该公司说，在一个内部安全工具于9月8日发出警告后，该公司才得知此事。经过进一步调查，这家连锁酒店了解到数据早在很久以前就被黑客入侵了。 该公司于2016年收购喜达屋。该公司表示，已向执法部门报告了这起事件，并已开始通知监管部门。 万豪表示，将从周五开始向受影响的客人发送电子邮件。 万豪发言人Jeff Flaherty表示，“我们仍在调查情况，所以没有具体的酒店名单。” 万豪表示，现在估计此次违约的财务影响还为时过早，不会影响其长期财务健康。该公司还表示，正与保险公司合作评估保险范围。 酒店集团近来成为黑客的目标，试图窃取信用卡数据等信息。 去年，洲际酒店和凯悦酒店都是网络攻击的受害者。 凯悦表示，它在某些地点发现了未经授权获取支付卡信息的行为，影响了11个国家的41家酒店。[详情]