美国联邦贸易委员会周五宣布了一项命令(pdf),要求万豪国际酒店集团(Marriott International)及其子公司喜达屋酒店集团(Starwood Hotels)改善其数字安全。美国联邦贸易委员会指控这些公司的安全措施松懈,导致在 2015 年、2018 年和 2020 年发现了三次大的漏洞,"影响了全球超过 3.44 亿客户",泄露了护照详细信息、支付卡和其他信息。
最短的一次漏洞持续了 14 个月才被发现,而最长的一次从 2018 年开始,攻击者甚至持有了酒店IT系统四年的访问权限。酒店运营方同意建立的强化安全计划包括制定政策,只在需要时保留信息,并发布链接,允许美国客户要求删除与其电子邮件地址或忠诚度账户相关的信息。
酒店一直是黑客攻击的主要目标之一,去年的一次入侵事件让美国联邦贸易委员会主席莉娜-汗(Lina Khan)成为了众多等待入住的人中的一员,当时勒索软件的攻击迫使美高梅度假村重新使用纸笔。
美国联邦贸易委员会于10月宣布了对这些公司的指控,指责它们"欺骗消费者",谎称"合理、适当的数据安全"。 这些公司被指控的失误包括密码和防火墙操作不当,以及没有为过时的软件和系统打补丁。
根据公布的命令,需要采取以下关键措施:
建立、实施和维护全面的信息安全计划,其中包括加密、访问控制、多因素身份验证、漏洞管理和事件响应计划
万豪必须制定政策,仅在合理必要的情况下保留个人信息,并在其网站上提供链接,供美国消费者申请删除其个人信息
对 IT 资产实施日志记录和监控,以便在 24 小时内发现异常活动和安全事件
在 20 年内每两年对信息安全计划进行一次独立评估,并向联邦贸易委员会报告任何已发现的漏洞。
为美国消费者提供一种方法,以审查其忠诚奖励账户中可疑的未经授权的活动,并在出现漏洞时恢复这些积分
在按规定向政府机构通报安全漏洞事件后 10 天内通知联邦贸易委员会
联邦贸易委员会的命令要求万豪和喜达屋在命令生效之日起 180 天内(即 2024 年 12 月 20 日)实施所要求的全面信息安全计划和相关措施,最后期限为 2025 年 6 月 17 日。
该命令的有效期为 20 年,并可在特定条件下延期。
除了提高安全性外,这些公司现在还被禁止"虚假陈述其收集、维护、使用、删除或披露消费者个人信息的方式,以及公司保护个人信息的隐私性、安全性、可用性、保密性或完整性的程度"。 其他要求还包括保留合规记录并接受联邦贸易委员会的检查。 该命令的有效期为 20 年。
就在联邦贸易委员会披露指控的同一天,康涅狄格州总检察长办公室宣布万豪公司已同意 5200 万美元的和解协议。
