万豪再曝泄露510万客户信息,为何在同一个地方跌倒两次?

传统酒店不是科技型公司,在面对内部不法人员以及有合作关系的第三方供应商时,缺乏有效、安全的技术保障,客户数据价值高且容易获取。

当地时间3月31日,万豪(Marriott)国际集团表示,正在调查一起旗下万豪国际酒店(NASDAQ:MAR)520万客户个人信息泄露事件。

此消息一出,便引起了不小的风波。这已经是继2018年11月,万豪旗下喜达屋酒店顾客预订数据库被入侵后的第二起客户个人信息泄露事件。

4月1日开盘,万豪国际酒店股票大跌6.6%,至69.87美元/股。最终,以69.15美元/股收盘,跌幅达7.57%。

为何酒店客户信息泄露事件频发?这背后是管理的漏洞还是利益的驱使?酒店自身又能做些什么?

日防夜防,“家贼”难防?

万豪官网的声明确认:客户的姓名、公司、生日、住址、电话号码、邮箱地址、会员账号以及积分余额、关联的航空公司等信息已被泄露,但从目前的情况看,客户的支付卡信息、护照、身份证号或驾照号码等信息尚未受到影响。

同时,万豪也表示:目前已将数据泄露事件告知客人,会为受影响的客人免费提供长达一年的个人信息监控服务。此外,万豪还为客户建立了一个可以自助查询个人信息是否被泄露的网站。

对于此次客户信息泄露的原因,万豪解释称事件仍在调查当中,泄露的原因尚不清楚。

据外媒报道,万豪发言人布伦登·麦克马努斯(Brenden MacManus)在邮件中表示:这些数据是通过俄罗斯一家特许经营店两名员工的登录凭证获取的。但该发言人没有表明这两位员工是否涉嫌作案,也没有表明他们的账户是否被盗用。

据介绍,这次事件的起始时间可以追溯到1月中旬,但到了2月底特许经营店雇员可能已访问了大量客户信息的事实才被发现。随即,万豪将其二人的登录凭证禁用,并展开调查。

有媒体透露,由于万豪购买了网络安全保险,该公司将结合此次数据泄露的规模影响等因素与保险公司进行保险索赔,且目前万豪估计,这次事件造成的经济损失不会太大。蓝鲸财经记者试图拨打万豪官网的电话求证此说法,但电话显示是空号。

在同一个地方跌倒两次

其实这已经不是万豪第一次出现客户个人信息泄露事件。

2018年11月,万豪宣布旗下喜达屋酒店(Starwood Hotel)的一个顾客预订数据库被黑客入侵,可能有多达5亿位客人的详细个人信息被泄露。

5亿人中,约有3.83亿人被泄露的信息涉及姓名、邮寄地址、电话号码、电子邮件地址、护照号码、SPG俱乐部账户信息、出生日期、性别、到达与离开信息、预订日期和通信偏好。更为严重的是,某些客人被泄露的信息还涉及支付卡号、支付卡有效期这些重要内容。

其实,上次黑客入侵早在2014年就已经开始,直到2018年9月万豪才第一次收到警报,间隔了4年之久。

由于此次数据泄露,部分客户对万豪酒店提起诉讼,并索赔125亿美元。

同时,英国数据隐私监管机构宣布:万豪酒店集团将因违反欧盟GDPR(通用数据保护条例)条例被罚款近9900万英镑(约合1.24亿美元)。

万豪屡次出现信息泄露背后直指万豪酒店管理存在巨大漏洞,万豪亟需投入大量资金和人力完善内部管理系统,但近期受到疫情冲击,酒店业陷入低谷。业内人士担心,万豪恐怕没有足够实力去完善内部管理系统,甚至随着业绩受到冲击,管理体系还可能面临更大风险,此次信息泄露就敲响了警钟。

万豪国际在近期财报分析会议上称,集团中国区的酒店RevPAR在今年2月份下降了52.1%。美国的业务仍在持续下滑。美国旅馆住宿协会则对美国政府表示,在西雅图,旧金山和波士顿等市场,酒店业的入住率已经低于20%。从2月21日至3月31日,万豪国际的股价腰斩,市值跌了一半。

酒店客户信息是座“金矿”

关于为何酒店客户信息泄露事件频发,蓝鲸财经记者咨询了博盖&容纳咨询创始合伙人高剑锋,他表示:“首先,高端星级酒店数据含金量极高,因为客户大多是高净值人群、商务人士,所以被‘关照’的概率更大。其次,传统酒店不是科技型公司,在面对内部不法人员以及有合作关系的第三方供应商时,缺乏有效、安全的技术保障,客户数据价值高且容易获取。”

当问及客户泄露的个人信息将被销往何处及这些信息的用途是什么,高剑锋回答说:“在暗网上买卖是确实存在的。高端酒店泄露的个人信息大多会被诸如酒店同行、金融、奢侈品、旅游等行业购买,其实,只要是面向高净值人群、商务人群的行业都有兴趣,且转换率很高。他们会将这些信息用于分析客户后精准推销。更严重的是,有些人会利用数据从事非法定向诈骗。”

同时,高剑锋解释道:“如果要全面防止信息泄露问题的再次发生,企业必须推倒现有系统,重新部署IT系统,费时、费力、费钱。”

对于此次信息泄露事件万豪是否违法等问题,蓝鲸财经记者咨询了上海朱永红律师。朱永红律师明确指出,若万豪员工故意泄露客户个人信息,万豪构成违法行为。消费者可以向万豪酒店提出索赔,具体根据泄露的消费者个人信息内容提出索赔要求。一般包括:赔偿原告合理维权支出、精神损害抚慰金及要求公开向原告发表书面道歉声明。

同时,万豪酒店或将面临工商部门或其他有关行政部门的罚款,责令停业整顿,甚至吊销营业执照的行政处罚。

另外,朱永红强调:“万豪此次泄露事件涉及520万条客户个人信息,已经达到了刑法对于侵犯公民个人信息罪规定的情节严重以上,因此,万豪相关人员面临着被追究刑事犯罪责任。”

朱永红律师还指出:“若此次泄露事件是由于黑客入侵,那么万豪仍将面临遭客户起诉索赔及相应的行政处罚责任;若万豪不存在出售、提供个人信息给他人的行为,那么不会承担刑事责任;但对于窃取或者以其他方法非法获取公民个人信息的人仍需要承担侵犯公民个人信息罪的刑事责任。”

那么,此次事件最终可能对万豪造成多大的影响,高剑锋表示:“毕竟是丑闻,而且是跟顾客高度相关的敏感事件,必然会影响万豪的声誉,顾客主动和被动的流失是显而易见的。主动流失主要是指顾客回避这个酒店系统,被动流失就是被同行挖角。而且一般来说泄露了就没有补救措施,除非法院判决否则不会有酒店主动补偿信息被泄露的客户。”

华美顾问集团首席知识官赵焕焱提醒:任何个人信息都可能具有商业价值,并引发个人信息的非法买卖。像万豪国际这样的大型酒店集团,必须要把用户信息安全列为核心竞争力的重要内容,进一步提升信息安全等级,时刻关注异常情况,并及时作出相应措施。

(fuxiaoya@lanjinger.com)