中美間諜戰波及飯店業！萬豪酒店5億房客個資遭駭，美國疑中國政府下令動手

全世界最大的酒店集團萬豪國際，11月30日宣布旗下飯店「喜達屋」的訂購管理系統遭到駭客入侵，高達5億名飯店用戶個資遭駭客竊取，堪稱飯店業史上最大規模的資安外洩案。儘管全案仍在調查，《紐約時報》11日率先引述美國調查人員的說法，指中國政府可能是策動駭客入侵萬豪系統的幕後黑手。美國政府可能在未來數天內公布針對中國貿易、網路以及經濟政策。

2014年駭入房客個資　護照、信用卡號碼都遭駭

萬豪國際（Marriott International）旗下擁有麗斯卡爾登（RITZ-CARLTON）、W HOTEL、威斯汀（Westin）、瑞吉酒店（St. Regis Hotel）等高級飯店品牌，這次爆發資安危機的「喜達屋」（Starwood）飯店訂房管理系統，9月8日發現有潛在資訊洩漏風險，更發現有駭客竊取房客個資之後，試圖以加密形式移除用戶個資，但萬豪國際直到11月才能解碼外洩的資訊，發現駭客早在2014年就開始竊取客戶個資，可能有高達5億名客戶的資料已遭竊取。

駭客竊取的房客資料包括姓名、居住地址、電話號碼、護照號碼，也可能包含房客的出生日期、性別、訂房日期、登記入住時間以及退房時間、信用卡等資訊。美國歐巴馬（Barack Obama）政府時期的美國國土安全顧問摩納珂（Lisa Monaco）即指出，護照的資訊相較其他個資，能夠追蹤跨越國界的民眾、以及護照持有人的長相，特別具有價值。而由於萬豪國際旗下的飯店，是美國政府官員、軍方投宿的首選，增加美國調查單位偵辦的急迫性。

美國懷疑中國國家安全部指揮犯案

從萬豪國際傳出客戶個資外洩開始，美國政府與資安公司就懷疑，這場駭客入侵行動不只是商業刺探行動，而是更廣大的間諜行動，意圖積聚美國人的個人資料。儘管調查尚未結束，2名了解調查進度的美國官員向《紐約時報》（New York Times）表示，美國調查機關懷疑，這些中國駭客受到中國國家安全部（MSS）指揮。

評估萬豪國際房客個資外洩的資安公司發現，駭客行動時所使用的雲端主機（cloud-hosting），與過去中國政府主導的駭客攻擊一致，駭客使用跳躍伺服器的資料竊取方式，也是中國典型的做案手法。另外一個由國家介入駭客的線索則是，沒有一筆被駭的資料出現在「暗網」（dark Web）或是任何犯罪集團用於出售個人資料的非法平台上。

美國匿名官員11日指出，這些駭客竊取萬豪國際房客個資，只是其駭入美國聯邦人事管理局（Office of Personnel Management，OPM）行動的一部分。2014年至2015年間，美國OPM遭駭時，高達400萬民眾的資料都遭駭客竊取，包括民眾姓名、社會安全碼（Social Security Numbers）、生日與地址、配偶、孩子等資訊。萬豪國際房客資料遭駭，則能讓情報系統掌握民眾乃至於官員的旅遊習性。

美國反制措施：起訴駭客、限制中企取得美零件

華府智庫「戰略與國際研究中心」（Center for Strategic and International Studies）網路政策專家路易斯（James A. Lewis）指出，中國已經蒐集到大量的資訊，能讓中國國家安全部掌握美國間諜，以及與他們接觸的中國民眾。路易斯說：「大數據已然成為反情報的新浪潮。」

美國政府也已研擬策略反制中國駭客的作為，4名匿名官員向《紐時》透露，美國將對在軍隊、情報單位工作的中國駭客起訴。川普（Donald Trump）政府打算解密情報單位的報告，揭露中國從2014年起針對美國建立安全權限的企業高層、政府官員的個資建立資料庫。此外，美國也考慮要發布行政命令，讓中國企業更難取得美國電信設備的關鍵零件。 （相關報導： 華為長公主被捕》擔憂中國拘禁美國公民作為報復 路透：美國考慮提升中國旅遊警示 ｜ 更多文章 ）

對於萬豪國際集團旗下訂房網站疑遭中國駭客入侵，中國外交部發言人耿爽6日則曾表示：「中方堅決反對並依法打擊任何形式的駭客攻擊」。耿爽也表示，若有相關證據，能夠提供中國，讓有關部門依法調查，「但我們堅決反對在網路安全問題上進行無端指責。」