FTC要求萬豪和喜達屋酒店必須提高資料安全性
美國聯邦貿易委員會週五宣布了一項命令(pdf),要求萬豪國際酒店集團(Marriott International)及其子公司喜達屋酒店集團(Starwood Hotels)改善其數位安全。美國聯邦貿易委員會指控這些公司的安全措施鬆懈,導致在2015 年、2018 年和2020 年發現了三次大的漏洞,”影響了全球超過3.44 億客戶”,洩露了護照詳細信息、支付卡和其他信息。
最短的漏洞持續了14 個月才被發現,而最長的一次從2018 年開始,攻擊者甚至持有了飯店IT系統四年的存取權限。酒店運營方同意建立的強化安全計劃包括制定政策,只在需要時保留信息,並發布鏈接,允許美國客戶要求刪除與其電子郵件地址或忠誠度帳戶相關的信息。
飯店一直是駭客攻擊的主要目標之一,去年的一次入侵事件讓美國聯邦貿易委員會主席莉娜-汗(Lina Khan)成為了眾多等待入住的人中的一員,當時勒索軟體的攻擊迫使美高梅度假村重新使用紙筆。
美國聯邦貿易委員會於10月宣布了對這些公司的指控,指責它們”欺騙消費者”,謊稱”合理、適當的資料安全”。 這些公司被指控的失誤包括密碼和防火牆操作不當,以及沒有為過時的軟體和系統打補丁。
根據公佈的命令,需要採取以下關鍵措施:
- 建立、實施和維護全面的資訊安全計劃,其中包括加密、存取控制、多因素身份驗證、漏洞管理和事件回應計劃
- 萬豪必須制定政策,僅在合理必要的情況下保留個人信息,並在其網站上提供鏈接,供美國消費者申請刪除其個人信息
- 對IT 資產實施日誌記錄和監控,以便在24 小時內發現異常活動和安全事件
- 在20 年內每兩年對資訊安全計畫進行一次獨立評估,並向聯邦貿易委員會報告任何已發現的漏洞。
- 為美國消費者提供一種方法,以審查其忠誠獎勵帳戶中可疑的未經授權的活動,並在出現漏洞時恢復這些積分
- 在依規定向政府機構通報安全漏洞事件後10 天內通知聯邦貿易委員會
聯邦貿易委員會的命令要求萬豪和喜達屋在命令生效之日起180 天內(即2024 年12 月20 日)實施所要求的全面資訊安全計畫和相關措施,最後期限為2025 年6 月17 日。
該命令的有效期為20 年,並可在特定條件下延期。
除了提高安全性外,這些公司現在還被禁止”虛假陳述其收集、維護、使用、刪除或披露消費者個人資訊的方式,以及公司保護個人資訊的隱私性、安全性、可用性、保密性或完整性的程度”。 其他要求還包括保留合規記錄並接受聯邦貿易委員會的檢查。 該命令的有效期限為20 年。
就在聯邦貿易委員會披露指控的同一天,康乃狄克州總檢察長辦公室宣布萬豪公司已同意5,200 萬美元的和解協議。