半年巨亏13亿的万豪，因泄露客户数据获罚1.6亿

文 | AI 财经 社 陈芳

编 | 孙静

万豪国际酒店集团泄露客户信息的事情有了新进展，近日英国信息专员办公室对万豪进行了处罚，金额为1840万英镑（约1.6亿元），原因是该酒店集团没能保护客户的个人信息数据安全。

作为全球最大的酒店集团，定位于高档豪华酒店的万豪国际酒店集团旗下拥有万豪、喜达屋、喜来登、丽思卡尔顿等30多个酒店品牌，本次被罚的事件起因是喜达屋酒店两年前泄露了3.39亿客人个人信息，包括姓名、电话、出生日期、性别等。

最初被曝光的数据是5亿人次，后经调查确认为3.39亿。据了解，万豪客户个人信息泄露的原因是网络攻击，早在2014年黑客就通过向酒店系统中植入代码、软件，获得远程访问权，从而窃取数据库中的数据，而万豪直到四年后才发现这一问题。

原本英国信息专员办公室给予万豪的处罚是9920万英镑，但考虑到万豪在问题发生后所采取的举措，降低了客户遭受损害的风险，最终将罚款金额降低至1840万英镑。

尽管如此，万豪却并没有吸取教训。2020年3月底，万豪再次发生客户信息泄露的事件，约有520万名酒店客户的个人信息被泄露，涉及姓名、联系方式、地址、出生日期、偏好等。不过与上一次网络攻击不同，这次的源头是“内鬼”。

万豪称，今年2月底该公司发现两个员工账号获取了大量客户信息，这种违规 *** 作自1月中旬开始，持续时间有一个多月。因信息泄露，如今万豪已被诉讼缠身，一些用户和律师决定起诉万豪，索赔金额高达125亿美元。据了解，万豪在美国、加拿大等多地都面临着诉讼。

值得注意的是，发生客户信息泄露事件的并非只有万豪，此前美高梅酒店、希尔顿酒店等巨头也发生过类似事件。

对此，业内人士分析，信息泄露事件在酒店行业频繁发生，一与酒店系统接口多，管理不当就有被入侵的可能有关；二是酒店行业IT人才欠缺，待遇相对偏低，留不住人才，为信息安全埋下了隐患。而黑客之所以喜欢攻击酒店企业，与其客户大多属于高净值人群不无关系，他们的信息转卖很值钱，能让其获得不菲的收益。

据了解，此前华住泄露的5亿条信息就被喊出37万元的高价。业内人士透露，黑市上要买一个高净值人群的电话一万条要几千元，而酒店的客户数据更全面，信息更多，价值相对来说更高，卖价也就更高。

虽然频繁发生客户信息泄露事件说明万豪的管理存在巨大漏洞，最终让“有心人”有了可乘之机。但显然，万豪眼下顾不上这些，如何活下去成为其首要目标。

受全球疫情影响，今年万豪的业绩并不如意，上半年营收61.45亿美元，同比大幅下滑40.44%，净利润更是由盈转亏，亏损2.03亿美元（约合人民币13.6亿元）。而为了应对危机，万豪已经采取给高管降薪50%、裁员、关店等多种举措降低成本。

据了解，万豪国际酒店集团总部有四千多名员工，其中有三分之二的员工在3月被“休假”。万豪对此给了体面说法，不是解雇而是休假，但是到9月，这些“被迫休假”的员工依然没有重返工作岗位。10月23日，万豪国际酒店集团还被传裁员17%，涉及673人。

在资本市场上，最近一个多月以来，万豪市值蒸发51.9亿美元，总市值10月30日为301.22亿美元。

喜达屋酒店于2014年遭受网络攻击，此后，万豪于2016年收购喜达屋酒店，不过直到2018年才发现了这一漏洞。此次数据泄露后，不仅给万豪带了不少负面影响，也为酒店集团引来了诉讼。

经过调查，英国信息专员办公室（英文简称“ICO”）最终将受影响的客人数量确认为3. 39 亿。其中 3000 万来自欧洲经济区（EEA）覆盖的 31 个国家，受到影响的英国居民约有 700 万。

据报道，攻击者通过向喜达屋酒店的系统设备植入恶意代码、安装恶意软件，可以特权用户的身份远程访问系统，导出喜达屋酒店预订数据库中的数据。

扩展资料

万豪被罚1840万英镑

英国信息专员办公室发布声明称，因未能保护客户个人数据安全，对万豪处以1840万英镑（约合人民币1.6亿元）罚款。原因为2018年11月底，万豪旗下喜达屋酒店预订数据库发生的3.39亿用户信息泄露事件。

对此，业内人士表示，信息泄露一直以来也成为酒店乃至各个行业的一项“顽疾”，在黑色产业链中，用户信息落沦为非法牟利的工具，未来如何提升信息安全，加大对非法贩卖用户信息行为的打击成为行业亟待解决的问题。

当头一棒，没有人预想到事情会进展得那么快。

7月4号晚上，国家互联网信息办公室依据《中华人民共和国网络安全法》，通知所有应用商店下架“滴滴出行”APP。

众所周知， 旅游 酒店业此前也频爆“数据泄露”丑闻。“数据安全”话题再次提到一个新的高度， 旅游 酒店行业的数据监管还远吗？

01

数据的安全

没有一个企业是无辜的

昨天网络公示的新闻称，将对“滴滴出行”实施网络安全审查，审查期间“滴滴出行”停止新用户注册，滴滴回应将积极配合网络安全审查。理论上这个审查需要60个工作日才能了结，没想到才过了2天，就来了个斩立决。

官网截图

酒店行业以旁观者看“滴滴”，殊不知酒店行业的当下已是“火烧眉毛”的处境。

近年来，攻击者已经入侵了多家大型连锁酒店的网络，暴露泄漏了数亿客人的信息。根据最近的行业报告，在2020年因网络安全漏洞而受到影响的行业中，酒店业排名第三，酒店行业遭受的攻击事件占总数的13%。

这些漏洞中约有三分之二是对酒店企业服务器的攻击，因为这些服务器通常存储来宾信息并与现场财产管理系统进行通信。此类网络攻击行为可能损害酒店企业声誉，破坏运营并造成巨大的财务损失。

事实上，统计万豪、洲际、希尔顿、凯悦、文华东方和华住等酒店集团均遭遇过用户数据泄露事件，涵盖用户数量已近10亿人次。以下是最近几年发生在酒店行业的部分数据泄漏事件：

2014年和2015年： 希尔顿酒店集团，泄露信息涉及超过36万条支付卡数据；

2017年4月： 洲际酒店集团，数据泄露涉及超过全球1000家酒店；

2017年10月： 凯悦酒店集团，泄露数据涉及全球的41家凯悦酒店。

2018年8月： 华住酒店集团，泄露5亿条数据，并在暗网被售卖；

2018年10月： 丽笙（Radisson）酒店，具体泄露数据量未公布；

2018年11月： 万豪酒店，数据泄露520万酒店客户个人信息；

2019年： 美高梅度假村的数据泄漏事件所带来的影响远比最初报道的要大，截至目前，已影响超过1.42亿酒店客人，不仅仅是媒体最初于2020年2月初报告的1060万人人数。

02

想得太简单

数据危机在哪里？

随着个人数据的价值越来越大，加上酒店在个人信息数据的管理和使用上存在风险和漏洞，使其成为黑客攻击的主要目标，数据泄露频繁发生，谈论酒店行业数据风波的警醒意义，都显得有些许无力。

酒店业虽然是住宿业态，但是它有非常原始的一手数据，比如你的姓名，手机号，常去的地址，入住酒店的频率，例如嗜好，习惯，职业，兴趣爱好，灰色事宜等等。如果把这些信息汇总起来，大体可以勾画出你这个人的人物形象。

对于普通老百姓来说，这些信息除了增加数据库储存空间以外，没有任何价值，但是一些敏感的人物和地点就完全不一样了。

举个例子，在官方地图上，某块区域是一片空白，但是总有那么几个固定的注册用户，会定时往返这个区域，那么大家认为这个区域会用来干嘛？

再或者若干位特定用户，比如参加国家级的某场会议的手机号集中出现在了某地，但当地近期并无召开会议的安排，那很有可能是一些重大且敏感的变化。

这些数据的珍贵程度超乎想象。未来一段时间中国将面临严重的泄密风险。

现在中国这些互联网垄断企业，掌握了大量的用户信息，而这些线上信息和线下的用户行为是息息相关的，只要对手愿意提供辅助算法，绝对可以模拟出真实的 社会 环境。以各位的智商，这个“对手”与“风险”是谁，就不用我多说了吧。

03

数据的安全

酒店业需要提早预见

鉴于酒店行业屡次犯错的事实，必须在对用户信息的管理上，树立起绝对的红线。酒店业的星级评定标准，也该及时升级，将数据库的防护水平纳入考量范围，倒逼酒店加大信息安全投入。

个人信息泄漏事件，无疑将重大影响酒店品牌的形象，也消耗了业主的信任，甚至影响到财务安全业务的开展。

在加强培训和优化系统之余，酒店当前最需要完成的是对信息安全的保障及信任框架的建立。对之前已发生过数据泄露的酒店而言，对数据的保护尤其重要。同时消费者应该拥有知情权，知道获取信息的目的及个人信息的明确用途，巧立名目获取与服务无关信息的商家，必将失去消费者的信任。

您可能觉得酒店管理系统没那么脆弱，实际上比您想像中的更脆弱，像摇摇欲坠的墙，只差人去推一把。酒店IT人员一般不会去推的，他们往往比较辛苦，但是实话说酒店行业IT待遇太差，所以高手一般都不愿呆在那儿，入门人员和混日子的IT人也没有水平和心思琢磨这些。他们宁愿让厂商来维护，而厂商的人员会在自家的管理系统中埋个逻辑炸d么？当然有可能，特别是想让酒店续费或升级之时。不过也不要以为酒店管理系统的工程师水平有多高超，就是系统支持，弄台服务器，安装个服务器端软件，搞个培训嘛！没事儿折腾那东西干什么？产品中设置一个授权时间，到时报警或停用不就得了，用得了下逻辑炸d？

留给行业的问题是：这个成本谁来买单呢？

---