萬豪酒店私隱外洩災難更新︰3.83億筆記錄被盜、525萬護照號碼無加密

萬豪酒店私隱外洩災難更新︰3.83億筆記錄被盜、525萬護照號碼無加密
Photo Credit: Andrew Kelly / REUTERS / 達志影像
我們想讓你知道的是

去年底公開數據外洩的萬豪國際集團,近日更新資訊,首次披露有未加密的護照號碼外洩。

2018年11月底,跨國酒店管理公司萬豪國際集團(Marriott International)公開表示,該公司旗下的喜達屋集團(Starwood)的訪客預約資料庫自2014年起被入侵,以致客戶資訊外洩,估計最多有5億人受影響。

根據萬豪當時的新聞稿,外洩記錄包括姓名、電郵、電話號碼、地址、護照號碼等資訊。部分客戶的信用卡號碼及到期日資訊亦外洩,不過有關數據經過加密﹐未能確定解密所須的資料有否被盜取。

上星期五萬豪更新是次資訊外洩的情況,其數據分析及鑑證團隊將估計數字下調,認為是次外洩令他們失去最多約3.83億筆客戶預約記錄,但仍未知道入侵者身份。

此外,萬豪首次披露被入侵的喜達屋系統中,包含525萬未加密的護照號碼,只要在預約系統內便可輕易讀取。該系統另外有2030萬個經加密處理的護照號碼,萬豪聲明指現時未有證據顯示入侵者取得可解密有關檔案的密鑰。

RTS7EBK
Photo Credit: Brendan McDermid / REUTERS / 達志影像

該公司未有解釋為何有部分護照資料未經加密處理,而有情報專家估計,美國情報部門經常查看國外調查對象的護照號碼,或能解釋為何美國政府未有堅持要求把護照資料加密。

信用卡方面,萬豪估計今次事件涉及約860萬張卡的資料,全部經過加密,其中35萬4千張卡於2018年9月發現資料外洩時尚未到期,亦未有證據顯示入侵者取得可解密數據的資料。

若以涉及的帳戶數量計算,萬豪集團今次數據外洩在調整數字後是史上第四大的事故,僅位於Yahoo(兩次)及Adult FriendFinder的嚴重事故之後。

去年公開資料外洩後,萬豪的應對手法曾遭資訊保安專家批評,例如該公司透過電郵通知可能受影響的客戶,但其電郵地址使用可疑的域名「email-marriott.com」,而且未有清楚公開確認這個域名可靠。

另外,黑客可以註冊相似域名,發送釣魚電郵,再盜取用戶資料。有兩名保安專家分別註冊了看來接近的「email-marriot.com」和「email-mariott.com」,以確保其他人無法用來盜取資料。

《紐約時報》及《路透社》曾引述匿名消息報道指,事件可能跟中國政府有關,中國政府否認指控,而萬豪以及美國政府目前均未有公開入侵者身份。

相關文章︰

資料來源︰

或許你會想看
更多『新聞』文章 更多『科技』文章 更多『Kayue』文章
Loader