连锁酒店万豪国际因未能保护数百万客户的个人数据安全而被罚款1840万英镑。

万豪估计，2014年喜达屋酒店及度假村网络遭受攻击后，约有3.39亿份客人记录受到影响。这场未知来源的攻击直到2018年9月才被发现，当时该公司已被万豪收购。

这笔罚款大大低于ICO最初在2019年7月对万豪进行罚款的99百万英镑。ICO表示，在最终确定1840万英镑的数字之前，它考虑了Covid-19的经济影响，以及该公司自入侵事件以来采取的措施。

此次数据泄露涉及的个人资料因人而异，但可能包括姓名、电子邮件地址、电话号码、未加密的护照号码、到达/离开信息、客人的VIP身份和会员计划会员编号。受影响的确切人数尚不清楚，因为单个客人可能有多个记录，但有700万条与英国人相关的访客记录。

ICO的调查发现，万豪未能按照《通用数据保护条例》（GDPR）的要求，采取适当的技术或组织措施来保护其系统中正在处理的个人数据。

信息专员伊丽莎白·丹纳姆（Elizabeth Denham）说：“个人数据非常宝贵，企业必须保护好它。万豪的失败影响了数百万个人的数据；成千上万的人联系了求助热线服务电话，而其他人可能不得不采取措施保护自己的个人数据，因为其信任的公司没有保护好这些数据。”

“当一家企业没有照顾好客户的数据时，其影响不仅仅是可能的罚款，最重要的是对公众造成的潜在伤害，企业有义务保护他们的数据。”

ICO的调查将网络攻击追溯到2014年，但处罚只涉及2018年5月25日的违规行为，当时GDPR的新规则刚生效。

由于这起事件发生在英国脱离欧盟之前，作为GDPR下的主要监管机构，ICO代表所有欧盟当局对此事进行调查。处罚和行动已通过GDPR的合作程序得到其他欧盟DPA的批准。此外，万豪还面临高等法院对数据泄露的赔偿要求。

ICO承认万豪迅速与客户和ICO联系的做法正确。该公司还迅速采取行动，以降低客户遭受损害的风险，并且此后采取了多种措施来提高其系统的安全性。

万豪在一份声明中写道，它“对这起事件深表遗憾”。该机构表示:

“ 万豪将继续致力于保护客人信息的隐私和安全，并继续在其系统的安全措施上进行大量投资。”

“ICO认可万豪在发现该事件后采取的措施，和及时通知并保护其客人的利益的行为。”

数据泄露事件起始于2014年，一名身份不明的攻击者（黑客）在喜达屋系统的一个设备上安装了一段名为“web shell”的代码，使他能够远程访问和编辑该设备的内容。

黑客利用这种访问来安装恶意软件，能够以特权用户的身份远程访问系统，进而可以不受限制地访问相关设备，并且可以通过该帐户访问网络上的其他设备。

攻击者安装了更多工具来收集喜达屋网络中其他用户的登录凭据。有了这些凭据，攻击者就可以访问和导出存储喜达屋客户的预订数据的数据库。悲剧就这样发生了。（本文出自SCA安全通信联盟，转载请注明出处。）