近期,美国联邦贸易委员会(FTC)对全球知名的酒店集团万豪及其子公司喜达屋发出了正式指令,要求它们实施一项全面的信息安全改进计划。这一举措源于对公司未能采取适当数据安全措施所引发的多项指控。
万豪集团在2016年完成了对喜达屋的收购,自此承担起这两个品牌的数据安全责任。然而,在2014年至2020年期间,这两家公司却遭遇了三次重大的数据泄露事件,波及全球超过3.44亿的客户。
首先,在2014年6月,喜达屋遭遇了支付卡信息泄露事件,涉及4万多名客户的敏感信息。令人震惊的是,这一泄露在长达14个月的时间里都未被察觉,直到万豪宣布收购喜达屋后的2015年11月,受影响客户才得到通知。
紧接着,同年7月,另一场更为严重的数据泄露事件爆发。攻击者成功访问了全球3.39亿条喜达屋客户的账户记录,其中包括525万个未加密的护照号码。这一重大安全漏洞直到四年后的2018年9月才被发现,并对外公布。
而万豪自身也未能幸免于难。2018年9月,万豪的网络系统出现漏洞,导致全球520万条住客记录被攻击者访问。这些记录包含了姓名、邮寄地址、电子邮件地址、电话号码、出生时间和会员账户等敏感信息。直到约一年半后的2020年2月,这一事故才被揭露。
FTC对万豪和喜达屋提出了严厉指控,指出它们虽然声称拥有合理和适当的数据安全措施,但实际上并未部署有效的安全举措来保护消费者的个人信息,这一行为构成了对消费者的欺骗。
为了应对这一危机,FTC在指令中明确要求两家公司必须执行新的信息管理政策,确保仅在合理必要的时间内保留客户个人信息。它们还需在20年期间每两年接受一次第三方的独立信息安全计划评估,以确保安全措施的有效性和合规性。
FTC还进一步禁止万豪和喜达屋在收集、维护、使用、删除或披露消费者个人信息的方式上进行误导性宣传,以及对其保护个人信息的能力进行夸大。这一系列的举措旨在强化数据保护措施,保障消费者的权益。
面对FTC的严格要求和公众的广泛关注,万豪和喜达屋将不得不重新审视并加强其数据安全管理措施,以应对日益严峻的信息安全挑战。