连锁酒店巨头万豪同意向49个州和华盛顿特区支付5200万美元的和解金,以解决2014年至2020年期间发生的一系列数据泄露事件,这些事件影响了超过3.34亿客户。作为另一项协议的一部分,联邦贸易委员会还要求万豪及其子公司喜达屋酒店及度假村国际集团实施一项信息安全计划,以解决数据泄露指控。
美国联邦贸易委员会消费者保护局(FTC)局长塞缪尔·莱文(Samuel Levine)在一份声明中表示:“万豪酒店糟糕的安全措施导致多起数据泄露事件,影响了数亿客户。美国联邦贸易委员会今天的行动将与我们的州合作伙伴协调,确保万豪改善其全球酒店的数据安全措施。”
美国联邦贸易委员会称,万豪和其于2016年收购的喜达屋欺骗了客户,声称他们拥有合理且适当的数据安全,但却让他们容易受到攻击。美国联邦贸易委员会的投诉称,万豪未能实施适当的密码控制、防火墙控制或网络分段。据美国联邦贸易委员会称,该公司未能修补过时的软件和系统,也没有部署多因素身份验证。
在2020年发现的一起事件中,黑客从马里兰州巴尔的摩的BWI机场万豪酒店窃取了大约20GB的员工和客户数据。这些数据包括机密商业文件和客户付款信息,包括信用卡授权表。
作为和解协议的一部分,万豪同意为所有美国客户提供一种方式,要求删除与其电子邮件地址或忠诚度奖励账户号码相关的任何个人信息。根据联邦贸易委员会的说法,客户的护照信息、借记卡和信用卡号、出生日期、电子邮件地址、忠诚度号码和其他信息在此次泄密事件中被曝光。万豪还被要求审查奖励账户并根据要求恢复客户被盗的奖励积分。