万豪国际
美国联邦交易委员会(Federal Trade Commission,FTC)上周下令要求万豪国际(Marriott International)及其子公司喜达屋(Starwood Hotels & Resorts)导入完善的资安方案,以便和解导致超过3.4亿客户资讯外泄的官司。
FTC针对2014年到2020年期间,万豪国际及喜达屋连锁饭店旗下发生多起大规模资料外泄事故,在今年10月提起告诉。其中三起事件影响顾客人数超过3.44亿。FTC指控饭店方面谎称具备合理和适当的资料安全防护,事实上却没有足够的安全措施确保消费者个资,因而导致至少三起个资外泄事故,而让大量顾客资料,包括护照资料、支付卡号、客户的忠诚会员编号等落入骇客手上。
当时FTC提议包含和解条件的命令,并在FTC委员3:2表决下通过最终版本命令。
最终版命令下,FTC要求二家饭店业者建立完整的资安计划,保护顾客个资、只在合理必要范围内保留顾客个资,并在网页上加入连结,以允许顾客要求删除其电子邮件信箱和忠诚会员帐号相关的资料。万豪酒店还必须在客户要求时,检视并回复遭窃取的忠诚回馈点数。
FTC也要求两家公司不得对如何搜集、维续、使用、删除或揭露消费者个资,以及双方公司如何保护顾客隐私、安全、资料机密与完整性作法提供不实说明。
本命令在2024年12月20日生效,要求两家业者要在180天内完成实作,最后期限为2025年6月17日。
今年10月万豪国际另外还和美国49州及哥伦比亚特区,就另一宗类似官司达成和解,万豪为此支付5,200万美元。FTC没有要民事赔偿的法律权力。
万豪国际在美国及超过130余国经营超过7,000家酒店,在2016年收购喜达屋后,也需概括承受后者的资安责任。喜达屋饭店集团下有W Hotels、喜来登、威斯汀、艾美等知名饭店。
二家饭店发生的资料外泄事件包括:2024年11月到2025年6月,喜达屋旗下54间饭店POS系统遭恶意程式感染致外泄客户资料。2018年喜达屋饭店美国客户预约资料库又遭恶意软体存取并加密,当时估计有5亿笔资料外泄,为史上第二大宗。