万豪再次报告数据泄露，事件影响多达520万客人

今天，万豪国际披露在2020年2月底检测到的数据泄露事件，声明这次事件影响了大约520万酒店客人。

该公司在一份声明中说：“到2020年2月底，我们注意到，黑客使用特许经营权中两名员工的登录凭据访问了一定数量的访客信息。”

“我们认为这项活动始于2020年1月中旬，在发现这个事件后，我们立即禁用登录凭据，并开始调查，实施了严格的监控，通知并帮助在此次事件中受影响的客户。”

尽管目前正在对此事件进行调查，但万豪表示，尚且“没有证据表明泄露的数据中包含万豪Bonvoy帐户的密码或PIN、支付卡信息、护照信息、身份证或驾驶证号码”。

3月31日，万豪以电子邮件的形式通知了此次可能受影响的客户，并且建立了一个自助服务网站，为那些想要确定自己是否受此次事件影响的客户提供帮助，并进一步提供泄露数据类别查询服务。

此外，在这次事件中可能会泄露信息的Marriott Bonvoy会员已禁用密码，并要求其在下次登录时更改密码，并提示客户启用多因素身份验证。

据万豪称，对于每个受影响的客户，泄露的信息可能包含以下几类：

联系人详细信息（例如，姓名、邮寄地址、电子邮件地址和电话号码） 会员帐户信息（例如，帐号和积分余额，但不包括密码） 其他个人详细信息（例如公司、性别、出生日期） 伙伴关系和从属关系（例如，关联的航空公司忠诚项目和人数） 偏好设置（例如，住宿/房间偏好设置和语言偏好设置）

万豪还为受影响的客人提供免费注册IdentityWorks个人信息监控服务的选择，为期1年。

该公司还将此事件通知当局，并全力配合正在进行的调查。

对于此次可能受影响的客户，应当注意后期潜在的网络钓鱼影响，不应该随便点开陌生邮件及附件链接。此外，还应及时修改相关账户密码，密切关注是否发生异常情况。

这是万豪在过去两年中第二次报告数据泄露事件，因为该公司还在2018年11月宣布其喜达屋酒店宾客数据库遭到泄露。当时攻击者访问和复制的信息包括来宾名称以及可能的物理地址和电子邮件地址，还包含护照号码、喜达屋优先顾客（SPG）帐户详细信息、出生日期、性别、到达和离开的信息、预订日期和通信偏好。

正如万豪当时所说，追溯至2014年，发现了未经授权的访问迹象，那次事件泄露了全球大约3.39亿访客记录的个人信息。

*参考来源：Bleepingcomputer，Sandra1432编译整理，转载请注明来自FreeBuf.COM