2024 年 10 月 9 日
美国联邦贸易委员会将要求万豪国际集团及其子公司喜达屋酒店及度假村国际集团实施强有力的信息安全计划,以解决因公司未能实施合理的数据安全而导致 2014 年至 2020 年发生三次大规模数据泄露事件、影响全球超过 3.44 亿客户的指控。
根据今天宣布的另一项和解协议,万豪还同意向 49 个州和哥伦比亚特区支付 5200 万美元罚款,以解决类似的数据安全指控。联邦贸易委员会和各州同时开展调查。联邦贸易委员会无权在本案中实施民事处罚。
万豪和喜达屋的安全失误
在拟议的投诉中,联邦贸易委员会表示,万豪和喜达屋声称拥有合理和适当的数据安全,从而欺骗了消费者。尽管这些说法不实,但这两家公司却没有部署合理或适当的安全措施来保护个人信息,这是不公平的。具体而言,拟议的投诉指控万豪和喜达屋未能:实施适当的密码控制、访问控制、防火墙控制或网络分段;修补过时的软件和系统;充分记录和监控网络环境;以及部署足够的多因素身份验证。
根据拟议的投诉,联邦贸易委员会指控万豪和喜达屋的安全漏洞导致了至少三起独立的数据泄露事件,其中恶意行为者获取了数亿消费者的护照信息、支付卡号、忠诚度号码、出生日期、电子邮件地址和/或个人信息。
根据拟议的投诉,第一次泄露事件始于 2014 年 6 月,涉及 40,000 多名喜达屋客户的支付卡信息。此次泄露事件持续了 14 个月,直到 2015 年 11 月,也就是万豪宣布收购喜达屋的四天后,喜达屋才通知客户。
第二次入侵始于 2014 年 7 月左右,直到 2018 年 9 月才被发现。在此期间,恶意行为者访问了全球 3.39 亿条喜达屋酒店客人账户记录,其中包括 525 万个未加密的护照号码。
第三次入侵事件从 2018 年 9 月一直持续到 2020 年 2 月,一直未被发现,影响了万豪自己的网络。恶意行为者访问了全球 520 万条客人记录,其中包括 180 万美国人的数据。被盗记录包含大量个人信息,包括姓名、邮寄地址、电子邮件地址、电话号码、出生月份和日期以及忠诚度帐户信息。
和解要求
根据拟议命令,万豪和喜达屋不得歪曲其收集、维护、使用、删除或披露消费者个人信息的方式,以及公司保护个人信息隐私、安全性、可用性、机密性或完整性的程度。拟议命令的其他规定包括:
数据最小化:公司必须实施一项政策,仅在实现收集个人信息目的所需的合理时间内保留个人信息。公司还必须说明收集个人信息的目的以及保留个人信息的具体业务需求。
综合信息安全计划: 万豪和喜达屋必须建立、实施和维护综合信息安全计划,并每年向联邦贸易委员会证明其合规性,为期 20 年。信息安全计划必须包含强大的保护措施,并且每两年接受一次独立的第三方评估。
忠诚度奖励计划账户审查: 公司必须为消费者提供一种方法来请求审查其万豪旅享家忠诚度奖励账户中的未经授权的活动,并且万豪必须恢复任何被恶意行为者窃取的忠诚度积分。
数据删除: 公司必须提供一个链接,供客户请求删除与电子邮件地址和/或忠诚度奖励计划帐号相关的个人信息。
委员会以 3-0-2 票 通过了行政投诉并接受了拟议的同意协议。委员 Melissa Holyoak 和 Andrew Ferguson 回避了此事。
联邦贸易委员会将很快在《联邦公报》上公布同意协议的描述。该协议将在《联邦公报》上公布后 30 天内接受公众评论,之后委员会将决定是否将拟议的同意令定稿。提交评论的说明将出现在已发布的通知中。处理完毕后,评论将发布在 Regulations.gov 上。
注意:当委员会“有理由相信”法律已经或正在被违反,并且委员会认为诉讼符合公众利益时,委员会将发出行政投诉。当委员会最终发布同意令时,该同意令对未来行动具有法律效力。每次违反此类命令都可能导致最高 51,744 美元的民事罚款。
https://www.ftc.gov/news-events/news/press-releases/2024/10/ftc-takes-action-against-marriott-starwood-over-multiple-data-breaches
https://www.ftc.gov/system/files/ftc_gov/pdf/1923022marriottacco.pdf