万豪国际集团有关喜达屋宾客预订数据库安全事件的说明

北京时间12月1日，纽约州检察官芭芭拉·安德伍德（Barbara Underwood）对万豪周五早上宣布的喜达屋宾客登记系统遭黑客攻击一事展开调查。

以下为万豪国际集团有关喜达屋宾客预订数据库安全事件的部分说明。

信源：https://answers.kroll.com/zh-cn/index.html

2018年11月30日

万豪国际一贯珍视我们的宾客，也深知保护个人信息的重要性。我们已采取措施，调查和处理涉及喜达屋宾客预订数据库的数据安全事件。2018年11月19日调查发现，2018年9月10日及之前喜达屋酒店预订数据库中的宾客信息曾在未经授权的情况下被访问。本通告旨在说明发生的事情、我方已采取的措施，以及您可采取的应对行动。

2018年9月8日，万豪国际收到一条内部安全工具发出的关于第三方试图访问喜达屋宾客预订数据库的警报。万豪国际迅速聘请了权威安全专家帮助确定已发生的情况。万豪国际在调查过程中了解到，自2014年起，即存在第三方对喜达屋网络未经授权的访问。万豪国际最近发现未经授权的第三方已复制并加密了某些信息，并采取措施试图将该等信息移出。2018年11月19日，万豪国际成功解密该等信息，并确定信息的内容来自喜达屋宾客预订数据库。

目前，万豪国际尚未完成对数据库中重复信息的识别，但相信数据库中包含在2018年9月10日或之前曾在喜达屋酒店预订的最多约5亿名客人的信息。这些客人中约有3.27亿人的信息包括如下信息的组合：姓名、邮寄地址、电话号码、电子邮件地址、护照号码、SPG俱乐部账户信息、出生日期、性别、到达与离开信息、预订日期和通信偏好。对于某些客人而言，信息还包括支付卡号和支付卡有效期，但支付卡号已通过高级加密标准（AES-128）加密。解密支付卡号码需要解锁两项密钥，目前万豪国际无法排除该第三方是否已经掌握这两项密钥。对于其他客人而言，信息仅限于姓名，但有时也包括如下数据：邮寄地址、电子邮件地址或其他信息等。

万豪国际已向执法部门报告此事，并将继续配合执法部门的调查。我们已开始通知相关监督管理机构。

对于此事的发生，万豪国际深表歉意。万豪国际从一开始便迅速采取措施控制此事件，并在权威安全专家的协助下进行彻底的调查。万豪国际正在努力确保我们的客人能够通过专门的网站和呼叫中心获得有关其个人信息的问题的回应。我们全力支持执法部门的工作，并与权威安全技术专家合作进行改进。万豪国际还投入了必要的资源，逐步淘汰喜达屋系统，正加速提升网络安全的相关工作。

宾客支持

万豪国际已采取以下步骤，帮助宾客管理和保护他们的个人资料：

专用电话服务中心

万豪国际已设立了专门的电话服务中心，以解答您对此事件的疑问。电话服务中心每周工作七天，以多种语言提供服务。电话服务中心起初可能会收到大量来电，希望您能耐心等候。

电邮通知

2018年11月30日起，若受影响客人的电子邮件地址已在喜达屋客人预订数据库中，万豪国际将陆续向其发送电子邮件通知。

免费注册WebWatcher监控工具

万豪国际将为宾客提供一年免费注册WebWatcher监控工具的机会。WebWatcher监控涉及共享个人数据的互联网网站，一旦发现涉及宾客个人信息的证据，就会发出警告。出于法律规定及其他原因，WebWatcher及同类产品尚未能向所有国家提供。