IT之家12月25日消息,美国联邦贸易委员会FTC当地时间本月20日宣布正式命令,要求酒店巨头万豪(IT之家注:Marriott)及其子公司喜达屋(Starwood)实施全面的信息安全计划,以解决因公司未能实施合理的数据安全而引发的指控。
万豪于2016年收购喜达屋,此后一并负责这两个品牌的数据安全工作。而在2014~2020年间,喜达屋和万豪自身出现了3起独立的大型数据泄露事故,累计影响了全球超过3.44亿的客户。
这三起事故的简要情况如下:
2014年6月开始,4万多名喜达屋客户的支付卡信息泄露,这一情况在14个月内未被发现。直到万豪宣布收购喜达屋的2015年11月,喜达屋方面才通知受影响客户。
2014年7月开始,攻击者访问了全球3.39亿条喜达屋客户的账户记录,其中包含525万个未加密的护照号码。而如此严重的数据安全事故直到超过4年后的2018年9月才被发现。
2018年9月,万豪自身网络出现漏洞,导致攻击者可访问全球520万条住客记录,这些记录中包含姓名、邮寄地址、电子邮件地址、电话号码、出生时间和会员账户等敏感信息。该事故直到约一年半后的2020年2月才被发现。
美国FTC指控万豪和喜达屋声称拥有合理和适当的数据安全,但实际上却未能部署合理的安全举措来保护消费者的个人信息,这一行为构成了对消费者的欺骗。
FTC在命令中要求两家企业执行仅在合理必要的时间内保留客户个人信息的信息管理政策,在20年期间每两年接受一次第三方的独立信息安全计划评估。
FTC还禁止万豪和喜达屋歪曲其收集、维护、使用、删除或披露消费者个人信息的方式以及公司保护个人信息的程度。
