11月30日,知名跨國飯店業者萬豪國際(Marriott International)陷入重大資安危機,公司宣布,旗下喜達屋集團的訂購管理系統遭駭客入侵,受害人數可能上看5億。
5億人有多少?統計資料顯示,相當於全美國,全日本加上全韓國的人口總和。這對旗下擁有麗斯卡爾登(RITZ-CARLTON)、W HOTEL等高級飯店品牌的萬豪國際而言,是難以承受的醜聞,商譽受損之餘,未來可能還有繁瑣的民事賠償問題需要解決,因此消息一曝光,當天股價收盤暴跌5.6%,以115.03美元作收。過去兩年萬豪國際得益於全球景氣大好,股價跟著達到歷史新高,但規模驚人的超級資安醜聞爆發後,恐怕要好一段時間,才能恢復元氣。
觀光旅遊業普遍擁有數量龐大、來源遍及各國的客戶資料庫,成為駭客眼中的肥羊,並不令人意外。去年初,洲際酒店(IHG)旗下12家酒店,也曾經有客戶被駭客盜用信用卡號等個資;幾個月前,國泰航空的客戶資料外洩事件,涉及人數「只有」940萬人,已經引發客戶極大反彈,讓國泰航空高層親自到香港立法會向議員解釋事發原因。這次萬豪國際被駭客攻擊的受害者,總數竟然多達5億,原因究竟何來?
原來萬豪國際指出,自從9月間公司內部出現網路安全警報,資安人員就著手調查風險來源,最後確定問題來自喜達屋,據不完全估計顯示,喜達屋有至少3.27億位客戶的個人資料外流,主要項目集中在電郵信箱、護照號碼與住址等,部份客戶因為加入喜達屋會員,連同出生年月日、住宿時間、性別、甚至信用卡號及有效期限都落入駭客之手。即使攸關大多數客戶金錢的卡號沒有被竊取,駭客也可利用這些真實的個人資料成立假帳戶,四處詐騙牟利,形成未來的犯罪溫床。 (相關報導: 中選會證實投票日當天遭駭客攻擊 「不影響開票」 | 更多文章 )
經過追查,萬達國際才發現駭客竊取個資的行動,竟然早在2014年就已經開始;更糟糕的是,由於2015年,萬達國際併購喜達屋,雙方合併後資訊系統整合困難重重,許多客戶上網抱怨,自己的會員積分、滿額住宿折抵等優惠憑空消失,這或許正是駭客入侵的重要信號,但公司一直沒有察覺資安漏洞,導致外流規模越來越大。現在盡管公司力圖亡羊補牢,設立專線電話負責處理客戶查證,並寄發電郵通知所有受害客戶,但效用如何,究竟還有多少未知的資安漏洞,恐怕仍舊存疑。
