春节将至,多家在线旅游平台数据显示,今年消费者出游意愿更加高涨。入住酒店时,也要记得检查所填信息的准确性,以免个人信息泄露。
近日,南都大数据研究院接到市民反映,其在从未入住希尔顿集团旗下酒店的情况下收到该集团的会员注册邮件,怀疑发生个人信息泄露事件。经沟通,希尔顿回复称该邮件系住客填错邮箱地址而误发,并承诺将尽快更正。公开信息显示,近年多家知名酒店集团都曾出现类似问题,不少网民质疑酒店数据安全措施是否到位。律师认为,频繁出现的邮件误发问题,反映出酒店在管理上的懈怠和失职。
经历
凌晨突然收到注册邮件 酒店称系填错邮箱所致
李先生反映,其电子邮箱于2025年1月6日凌晨1时许接连收到两封来自希尔顿集团的邮件。其中,第一封邮件提示其创建或重置酒店会员账户密码,第二封提示一名郑姓住客成功注册成为该酒店会员,且展示了他的会员编号。
但李先生表示,其此前从未入住过希尔顿旗下酒店,也不认识邮件中提到的郑姓住客。而且,他并未点击邮件中的密码创建链接,但酒店仍发来会员注册成功邮件,担心其中存在个人信息泄露或邮箱安全问题。
为此,李先生向希尔顿中国内地客服热线反映。随后,湖北某地的一家希尔顿酒店致电解释,该账户在其酒店前台注册,因住客入住登记时填错了邮箱地址,导致相关邮件误发至李先生的邮箱;且因为该邮箱没有希尔顿会员系统的登记记录,导致注册申请被直接通过。
酒店方面表示,将尽快更正此账户的绑定邮箱,解除与李先生的错误关联。当指出误发邮件暴露了住客姓名、会员编号等敏感个人信息时,酒店表示将向会员中心反映此意见,对会员系统进行升级。
实测
7年前已有网民投诉 住客账户可被随意登录
南都记者留意到,李先生遭遇的酒店会员信息误发问题并非个例。社交平台上,不少网民反映曾收到知名酒店集团的会员注册、入住确认邮件,但邮件内展示的住客信息并非本人。仅黑猫投诉平台上,就有超170条对希尔顿集团误发邮件的投诉记录。梳理社交平台信息,早在2018年,就有网民反映莫名收到希尔顿的会员注册邮件。此外,也有网民反映IHG(洲际)、世茂喜达等知名酒店集团同样存在此类问题,并质疑相关酒店对住客个人信息保护措施落实不到位。
此类邮件可能泄露住客哪些个人信息,存在哪些数据安全隐患?南都记者以个人身份对希尔顿集团的会员注册流程进行实测。测试结果显示,住客可通过酒店前台、官网、APP,以及飞猪等在线旅游平台注册成为酒店会员。无论通过何种渠道注册,酒店系统都会向住客填写的电子邮箱发送一封包含住客姓名和会员编号的电子邮件。若住客注册过程中填错个人邮箱,相关信息便有可能误发给陌生人。
其中,仅当住客通过APP以个人手机号码注册,酒店系统会默认以住客手机作为安全验证工具,登录账户时必须填写短信验证码。若住客在酒店前台、官网或在线旅游平台注册,酒店系统将默认以电子邮箱作为安全验证工具。邮箱持有者可随时凭会员编号向酒店提出重置账户密码并登录账户,相关验证码将直接发送到邮箱。且在此过程中,南都记者的手机未收到任何通知提醒。一旦成功登录该账户,邮箱持有者便可浏览住客的入住记录,还可自行修改该账户的用户名、绑定手机号等信息。
●律师说法
保障个人信息安全 酒店负有较重责任
对此类现象,北京市盈科(广州)律师事务所罗爱萍律师表示,根据个人信息保护的相关原则,个人有责任对自己提供的信息进行合理管理和注意。同时,酒店行业因经营活动掌握大量个人信息,在保障个人信息安全方面负有较重的责任,应该建立完善的信息安全管理制度,防止客户信息泄露。
罗爱萍律师认为,该酒店集团近年发生多起邮件误发事件,作为专业的服务机构,应当对其运营管理各个环节进行有效监督和管理,确保类似事件不再发生。然而,从实际情况来看,酒店并未对消费者的反映和要求作出积极回应和改进,反映出酒店在管理上的懈怠和失职。
南都记者留意到,警方正持续开展对酒店业的个人信息安全检查行动。例如2024年6月,甘肃省张掖市公安局甘州分局网安大队发现当地6家酒店的网络数据管理系统均存在数据泄露风险,未履行好数据安全保护义务,严重影响公民个人信息安全。根据《中华人民共和国数据安全法》相关规定,对6家酒店依法给予行政处罚,责令立即整改。
2024年12月,山西太原公安小店分局网安大队开展专项检查行动,发现包括全国知名连锁酒店在内的多家酒店,管理系统存在公民个人信息泄露风险、未制定处理公民个人信息的操作流程及相应管理制度,对入住客人的个人信息安全构成了潜在威胁。对存在问题的5家酒店下达了限期整改书,并给予警告的行政处罚。
采写:南都记者 李伟锋
制图:朱林(豆包AI)
