2018年11月底,跨國酒店管理公司萬豪國際集團(Marriott International)公開表示,該公司旗下的喜達屋集團(Starwood)的訪客預約資料庫自2014年起被入侵,以致客戶資訊外洩,估計最多有5億人受影響。

根據萬豪當時的新聞稿,外洩記錄包括姓名、電郵、電話號碼、地址、護照號碼等資訊。部分客戶的信用卡號碼及到期日資訊亦外洩,不過有關數據經過加密﹐未能確定解密所須的資料有否被盜取。

上星期五萬豪更新是次資訊外洩的情況,其數據分析及鑑證團隊將估計數字下調,認為是次外洩令他們失去最多約3.83億筆客戶預約記錄,但仍未知道入侵者身份。

此外,萬豪首次披露被入侵的喜達屋系統中,包含525萬未加密的護照號碼,只要在預約系統內便可輕易讀取。該系統另外有2030萬個經加密處理的護照號碼,萬豪聲明指現時未有證據顯示入侵者取得可解密有關檔案的密鑰。

Photo Credit: Brendan McDermid / REUTERS / 達志影像

該公司未有解釋為何有部分護照資料未經加密處理,而有情報專家估計,美國情報部門經常查看國外調查對象的護照號碼,或能解釋為何美國政府未有堅持要求把護照資料加密。

信用卡方面,萬豪估計今次事件涉及約860萬張卡的資料,全部經過加密,其中35萬4千張卡於2018年9月發現資料外洩時尚未到期,亦未有證據顯示入侵者取得可解密數據的資料。

若以涉及的帳戶數量計算,萬豪集團今次數據外洩在調整數字後是史上第四大的事故,僅位於Yahoo(兩次)及Adult FriendFinder的嚴重事故之後。

去年公開資料外洩後,萬豪的應對手法曾遭資訊保安專家批評,例如該公司透過電郵通知可能受影響的客戶,但其電郵地址使用可疑的域名「email-marriott.com」,而且未有清楚公開確認這個域名可靠。

另外,黑客可以註冊相似域名,發送釣魚電郵,再盜取用戶資料。有兩名保安專家分別註冊了看來接近的「email-marriot.com」和「email-mariott.com」,以確保其他人無法用來盜取資料。

《紐約時報》及《路透社》曾引述匿名消息報道指,事件可能跟中國政府有關,中國政府否認指控,而萬豪以及美國政府目前均未有公開入侵者身份。

相關文章︰

  • 擔心自己的帳戶資訊外洩?你可採取這些安全措施
  • Facebook嚴重安全漏洞︰毋需密碼可使用帳戶 近五千萬人受影響
  • 《彭博》指中國生產線加入「間諜晶片」,到底是否可信?

資料來源︰

  • Marriott Announces Starwood Guest Reservation Database Security Incident (Marriott News Center)
  • Marriott Hacking Exposes Data of Up to 500 Million Guests (The New York Times)
  • Marriott discloses massive data breach affecting up to 500 million guests (The Washington Post)
  • Marriott Provides Update on Starwood Database Security Incident (Marriott News Center)
  • Marriott Concedes 5 Million Passport Numbers Lost to Hackers Were Not Encrypted (The New York Times)
  • The biggest data breaches of all time, ranked (Quartz)
  • Marriott's data breach is large, but it's not the largest: These are the 5 worst corporate hacks (ABC News)
  • Marriott’s breach response is so bad, security experts are filling in the gaps — at their own expense (Tech Crunch)
  • Exclusive: Clues in Marriott hack implicate China - sources (Reuters)
  • Marriott Data Breach Is Traced to Chinese Hackers as U.S. Readies Crackdown on Beijing (The New York Times)