因为信息泄露，万豪被罚了3.6个亿

文 | 酒管财经

你的入住信息，很可能在长期“裸奔”。

近日，因泄露3.44亿客户信息，万豪决定花3.6亿和解。

作为和解协议的一部分，万豪还被监管机构命令采取措施更好地保护客户的个人信息，并让客户对他们的数据有更多的控制权。

被罚了3.6亿的万豪，很可能扯下了酒店个人信息安全最后的“遮羞布”。

在多次数据泄露事件的背后，酒店的网络安全和数据合规问题令人深思。

对此，酒旅观察人士A君调侃道，以前对外我说出差只住希尔顿、丽思卡尔顿这样的高星酒店，现在要是被别人知道我还住快捷酒店，以后还咋在圈里混啊。

3.44亿，不仅仅是一个数字。

此次万豪数据泄露事件，凸显了酒店行业在数据安全方面的脆弱性和个人信息保护的紧迫性，也再次提醒所有酒店必须高度重视信息安全建设。

哪怕是被黑客盗取或意外所致，其带来的消费者信任度仍需很长时间才能恢复。

信息泄露，已成酒店“心病”

这次，万豪为什么选择支付和解呢？

业内人士认为，万豪选择支付和解的原因主要是为了避免更严重的法律后果和财务损失。通过支付和解金，万豪可以与监管机构和客户达成和解，从而避免可能的高额罚款和长期法律纠纷。

需要注意，这只是美国的罚款，此前英国ICO针对万豪旗下喜达屋酒店数据泄露事件也处以了约1.6亿元罚款。

万豪三次大规模数据泄露都泄露了哪些信息？影响有多严重？

美国联邦贸易委员会（简称FTC）的指控中写的非常清楚：

第一次泄露始于2014年6月，影响了喜达屋，并在酒店通知客户之前未被检测到14个月。这次泄露暴露了超过4万名客户的支付卡信息。尽管万豪是在2016年收购了喜达屋，但FTC仍认为它对两个品牌的数据安全负有责任。

第二次泄露始于2014年7月左右，影响的仍是喜达屋，直到2018年9月才被检测到。在此期间，不良行为者访问了全球3.39亿喜达屋客户账户记录，包括超过500万个未加密的护照号码。

第三次泄露影响了万豪自己，从2018年9月至2020年2月未被检测到。恶意行为者在那段时间内访问了520万客户记录，包括180万美国人的数据。

据GoUpSec对国内外网络安全攻击事件的统计分析，酒店行业是2023年全球网络攻击的十大主要垂直行业之一。

2013年，乌云报告称，如家、咸阳国贸、杭州维景国际和驿家365快捷等因为酒店所使用的Wi-Fi 管理和认证管理系统存在安全漏洞，数据传输过程并未加密，导致一个名为“2000w开房数据”的文件出现在网上。

2015年，布丁、万豪、丽思卡尔顿、喜达屋、洲际酒店集团等被曝存在严重安全漏洞，房客开房信息一览无余，甚至可对酒店订单进行修改和取消。

2016年，凯悦集团表示，此前披露的支付卡数据外泄事件波及了全球约50个国家的250家酒店，约占凯悦运营中酒店数量的40%，这是影响面最广的酒店黑客袭击事件之一。

2017年，洲际酒店集团，数据泄露涉及超过全球 1000 家酒店；

2020年，一对越南情侣黑客利用了钓鱼攻击访问并删除洲际酒店集团的数据库，导致假日酒店的订房系统一度瘫痪。

最离谱的还是2018年的花总事件，在其曝光酒店卫生乱象后，他的护照信息就在一家酒店微信群传开，有人提醒“花总入住时相互通知”。

海南一家酒店甚至直接将其护照图片和采访截图打印后张贴出来，标注“暗访人员关注”。

图片来源 | 微信

在花总起诉最先传播其护照信息的两家酒店，并“悬赏十万”寻找泄密源后，居然收到了“死亡威胁”。

对此，花总无奈地表示，用20年构建起的酒店网络与现实间的安全屏障，一夕之间轰然倒塌，他觉得自己被窥视得一览无余。

艾媒智库调研数据显示，消费者在酒店时，超八成的人会首先考虑酒店的安全性，其次才是考虑价格，而隐私问题是消费者居住酒店时最关注的安全问题。

信息安全，毫不夸张地说是酒店的“命根”。

消费者入住酒店，是将最隐私的信息交给了酒店，如果酒店信息泄露，客户失去信任，那对酒店来说将是致命打击，需要很长时间来修复。

被“黑”的为什么总是酒店？

由于酒店行业的特殊性，酒店管理集团一般掌握着大量的会员信息，同时客人的入住信息通常也会被长期储存和使用。

正因为拥有庞大且极具价值的个人数据，国内外大型连锁酒店集团很容易成为黑客攻击的对象。

酒店用户数据泄露的“元凶”到底是谁？

业内人士分析，信息泄露事件在酒店业尤其是高星酒店频繁发生，一与酒店PMS系统接口多，管理不当就容易被入侵；二是酒店行业IT人才欠缺，待遇相对偏低，留不住人才，为信息安全埋下了隐患；三是高星酒客户大多是高净值人士，倒卖其信息有很大市场。

另据国内某PMS系统供应商C总透露，由于技术人员不足、专业度受限，国内很多中小酒店的PMS系统，大多都是外包给不具备ISMS认证的第三方厂商开发或运维，数据泄露的风险很大。

据业内人士爆料，某些酒店内部人员出于利益驱动，主动泄露用户数据，也是酒店业黑产的一环。在暗网花850块钱，就能买到一个人的开房记录等11项涉及个人隐私数据，具体价格取决于数据的量级和敏感程度。

后果也相当严重，此前就出现过不法分子可能拿着开房这样的隐私数据进行诈骗的先例。

值得注意的是，酒店行业每年因网络黑产欺诈产生的损失也在加剧。

Trustdecision数据显示，每年因欺诈行为酒店行业所遭受的损失可能高达数亿美元，这其中包括黑产分子通过欺诈行为获取的非法收益，以及间接的损失，如酒店声誉受损、客户流失、法律诉讼等。

图片来源 | Trustdecision

湖北某酒店投资人D总吐槽，其实不一定是酒店方不懂数据安全的重要性，而是选择性忽视。

在商言商，凡事都是讲效益、求利润的，这些信息类安全项目在一些投资人业主眼中属于光投入不产出的投资回报率极低的无用项目。

他还吐槽道，国内不少酒店集团往往要求业主方去遵守装修、硬件上的统一标准，但在信息安全等软件方面却鲜有统一的执行准则。

酒店信息泄露真的“无解”了？

对酒店而言，信息安全和管理系统一样是一项极为庞大且复杂的工作，不少酒店选择将信息安全外包给服务商来做。

因此，如何避免信息泄露，行业上下游供应商也在积极寻找解决之道。

被问及酒店信息泄露最容易发生在哪个环节，住好智能CEO武冉冉强调，办理入住环节最容易泄露用户隐私，行业需要供应商提供更多、更精准、更专业的加密服务。

而在酒店预订酒店过程中，往往需要用户提供姓名、手机号、银行卡号等用户数据信息。

有业内人士指出，目前最容易产生信息泄露的是平台端，其中最敏感的数据，是酒店的内部运营和用户的个人数据，只要把这一块的私有云服务做好，就可以解决这个问题。

基于此，绿云携手银联云共同打造的酒店用户支付数据安全存储解决方案——云Token服务系统，底层全部采用银联云提供的传输存储安全协议和密钥加密技术，为酒店客户提供更安全的数据加密和控制服务，全面提升酒店客户信息安全保障能力。

具象于酒店集团的实操，锦江酒店通过与星环数据合作，实现了对酒店业务敏感数据进行分类分级，对个人信息数据采用去标识化、数据脱敏等方式对数据进行事前事后全方位保护，保障了酒店数仓的数据安全。

当然，锦江酒店自身也在努力，设立了信息安全委员会并设置专职信息安全岗，还建立了数据分类分级制度和数据去标识化与匿名化处理指南制度以保障数据安全。

此外，智慧酒店的信息安全问题更需关注，除了PMS泄露信息风险，智慧酒店接入的每一个智能设备，都有可能成为风险的来源，这对很多盲目智能化升级的酒店来说，是非常大的隐患。

对智慧酒店方案商来说，除了在平台端，设备端和传输端的安全防护也是重点。

对此，庆科信息方面表示，庆科信息一直致力于提供安全可靠的云服务。

针对云服务的安全性难题，庆科信息早在云服务相关产品的设计和服务过程中，就将信息安全意识进行了内化，确保从技术底层开始，通过管理和技术手段保护客户数据等敏感信息和服务免受外部威胁。

据悉，庆科信息早在2019年就已通过国际权威信息安全管理体系ISMS认证，完成了信息安全管理机制与国际标准的接轨。

基于MXMESH的庆科信息全屋智能解决方案，也是打造去中心化的本地BLE Mesh网络，带来安全高效的本地智能体验。

关于酒店信息泄露，我们面对的是一个庞大的黑灰产业链。

想从根本上扭转这种猖獗的态势，需要从多个环节入手，需要各界共同努力。

值得庆幸的是，已有不少酒店集团以及上下游供应商都在努力探索新的解决办法。

未来，希望你我入住酒店个的人信息不再“裸奔” 。