【客人我又洩】Marriott 520萬會員資料非法下載
酒店連鎖巨頭萬豪國際集團 (Marriott International)喺 2018 年因為自爆因黑客入侵,導致 3.83 億條客人訂房記錄外洩,結果被英國信息專員辦公室(ICO)判罰 1.25 億美元巨額罰款。以為「經一事、蔡一智」?實情係其他酒店業對手要請小鳳姐出場先真!
唔係愚人節,萬豪國際尋日公布,喺今年 2 月尾發現,Marriott Bonvoy 會籍內嘅客人資料,一共有 520 萬條被非法獲取!由萬豪向受影響嘅客戶電郵內顯示,今次事故係由旗下獲特許經營權業務嘅兩位員工,以佢哋嘅帳戶登入系統而成功讀取,雖然現階段未知到底係員工親手做定係因為帳戶被盜用,但萬豪已即時停止咗兩個帳戶嘅登入權限,同時再展開調查。
經初步核實後,萬豪相信今次外洩嘅會籍資訊並唔包括會員嘅信用卡及身份證明文件資料,但就有以下資訊:
- 聯絡資料:姓名、地址、電郵地址、電話
- 會籍資料:帳戶號碼及積分,但不含密碼
- 額外資料:公司名稱、性別、出生日期及月份
- 合作伙伴:相關嘅airline loyalty計劃帳戶號碼
- 個人喜好:住房及語言喜好
自助檢查
萬豪已即時發電郵通知受影響會員,同時要求佢哋重設密碼或啟用多重登入驗證。另外,亦設立咗一個自助檢查網頁,如果擔心自己受今次事故影響而又無收到電郵,就可以要去輸入返個人資料檢查。而受影響客戶,萬豪亦會提供一年免費 IdentityWorks 網絡監控服務,防止個人資料喺網上繼續流傳。
可能大家會話今次如果係內鬼再反,咁佢實有登入系統、接觸到呢啲資料嘅權限,咁真係無得防備喎!但其實現時最先進嘅網絡安全工具,已經可以通過分析使用者行為及習慣(UEBA),只要登入系統嘅人登入位址、時間、儲存資料嘅行為有異於平常,系統都會即時發出警報,以今次事件為例,兩個員工喺短時間內讀取咁大量會籍資料,系統一定可以發現。唔知喺歐盟嘅 GDPR 一般資料保護法規嘅懲罰下,今次萬豪又要跌幾多呢?
相關文章:【嚴重事故】萬豪酒店集團遭黑客入侵,5 億顧客資料疑外洩