万豪就数百万客人数据泄露达成和解，同意支付 5200 万美元

万豪国际已同意支付 5200 万美元，作为和解协议的一部分，该协议泄露了全球超过 3.44 亿客人的信息。

据联邦贸易委员会（FTC）称，这家总部位于马里兰州贝塞斯达的酒店公司还同意加强其数据安全并解决导致 2014 年至 2020 年间发生三起重大违规行为的问题。

监管机构表示，万豪国际及其子公司喜达屋酒店及度假村将不得不实施“强大的信息安全计划以解决费用”。

在同时进行调查后，FTC 和 49 个州和哥伦比亚特区的总检察长分别宣布了与万豪的和解协议条款。

据 FTC 消费者保护局局长塞缪尔·莱文（Samuel Levine）称，这些协议将确保万豪改善其“全球”酒店的数据安全实践。

“万豪糟糕的安全实践导致了多次违规，影响了数亿客户，”莱文说。

万豪在其网站上发布的一份声明中表示，作为和解的一部分，它“不承认对潜在指控的责任”。

它还表示，它已经加强了其数据隐私和信息安全实践，并将继续采取更多措施。

协议的条款是什么？

作为与 FTC 达成的和解协议的一部分，万豪被命令采取措施更好地保护客户的个人信息，并让客户更好地控制他们的数据。

万豪同意为其美国的所有客户提供一种请求删除与其电子邮件地址或 Loyalty Rewards 账号相关的个人信息的方法。

此外，和解要求万豪根据客户要求审查忠诚度奖励账户并恢复被盗的忠诚度积分。

它还被要求实施一个“全面的”信息安全计划，其中包括多因素身份验证、加密和其他保护措施。此外，该公司同意配合第三方对其信息安全计划的审计。

万豪还被告知，只有在商业目的需要时才收集和保留个人信息，并在不再需要时删除收集的数据。

根据与各州的单独和解，万豪还同意支付 5200 万美元的罚款，并解决与与 FTC 协议中概述的类似数据安全指控。

根据 FTC 的说法，万豪和喜达屋声称拥有适当的数据安全性，而实际上他们并没有，从而“欺骗”了消费者。

具体来说，投诉称万豪和喜达屋未能实施适当的密码、访问和防火墙控制或网络分段，修补过时的软件和系统，或充分记录和监控网络环境。

据 FTC 称，也没有部署足够的多因素身份验证。

因此，“恶意行为者”通过至少三个独立的数据泄露获取了个人信息，包括护照信息、支付卡号、忠诚度号码、出生日期、电子邮件地址和个人信息。

据 FTC 称，第一次违规行为始于 2014 年 6 月，影响了喜达屋，并且在酒店通知客户之前 14 个月都没有被发现。投诉指出，此次泄露暴露了 40,000 多名客户的支付卡信息。

虽然万豪于 2016 年收购了喜达屋，但它负责这两个品牌的数据安全实践。

第二次泄露始于 2014 年 7 月左右，直到 2018 年 9 月才被发现。在此期间，不良行为者访问了全球 3.39 亿条 Starwood 宾客账户记录，其中包括超过 500 万个未加密的护照号码。

第三次泄露影响了万豪自己的网络，从 2018 年 9 月到 2020 年 2 月一直未被发现。FTC 表示，在此期间，恶意行为者访问了 520 万条客人记录，其中包括来自 180 万美国人的数据。

美国和其他 130 多个国家/地区的 7,000 多家酒店都签订了万豪的管理和特许经营协议。

原文地址：https://cybernews.com/news/marriott-settles-data-breach/