史上第二多！Marriott饭店旗下喜达屋客户数据库遭骇，5亿住客资料外泄

全球最大饭店集团万豪国际（Marriott）上周公布，集团下喜达屋连锁包括W Hotels、希尔顿、威斯汀、艾美等知名饭店的客户数据库入侵，恐已导致5亿住客资料外泄。

今年9月8日万豪内部安全系统发出警示，显示旗下喜达屋（Starwood）饭店在美国的客户预约数据库遭未授权存取并将之加密。在外部安全厂商协助下，万豪11月19日万豪已经成功解密，并得知受影响的资料来自旗下喜达屋饭店。该饭店进一步研究发现，喜达屋网络在2014年即已遭骇，使骇客得已复制取走从2014年直到今年9月初的客户资料。

喜达屋是全球最大饭店连锁，拥有30家饭店品牌及6700多家饭店，资产遍布129个国家地区。旗下品牌包括W Hotels、希尔顿（Sheraton Hotels & Resorts）、威斯汀（Westin Hotels & Resorts）、艾美（Le Méridien Hotels & Resorts）、福朋（Four Points by Sheraton）、圣瑞吉（St. Regis）、及艾丽（Design Hotel）、Element Hotels、雅乐轩（Aloft Hotels）、The Luxury Collection及Tribute Portfolio。喜达屋于2016年9月由万豪饭店收购。

本案还在调查中，但万豪饭店认为恐怕已经有近5亿曾在喜达屋旗下饭店预约的客户资料。而其中有将近3.27亿用户的个资，包括姓名、通讯地址、电话、电子邮箱、账号密码及喜达屋客户账号资讯、生日、姓名、入住及退房资讯、预约日期、通讯偏好方式等资料被骇客窃取，其中部分客户的支付资讯，包括信用卡号码和信用卡截止日等也外泄。但万豪饭店表示信用卡号码曾以AES-125等级加密要解密这些资讯需要二个元素，但万豪表示截止上周已排除二者都被取得的可能性。其他客户只有姓名、及通讯地址、电子邮箱等资讯被窃。

万豪饭店已经报警并通知主管机关，同时从11月30日起已陆续透过电子邮件通知受到影响的客户。而除了公开致歉及协助调查外，该饭店也成立多语客服专线及专门网站 (info.starwoodhotels.com)回复客户对个资外泄的所有疑问，也承诺加速淘汰喜达屋系统及强化网络的安全防护措施。

目前不知台湾地区的W Hotels、希尔顿、威斯汀、艾美、福朋及艾丽酒店客户是否受到影响。

这并非喜达屋饭店第一次遭骇。2015年这家饭店POS系统也曾遭骇导致北美客户信用卡资料外泄。喜达屋和万豪也在2016年母公司HEI资料外泄事件中名列受骇名单。以规模而言，这次受影响规模不但超过以往，仅次于雅虎30 亿用户个资外泄事件，而其骇客活动期间长达四年，恐怕也是造成重创的主因。

事实上，和万豪同属HEI集团下的多家知名饭店连锁，包括洲际及君悦饭店，也分别于2016及2017年间数次传出被骇，影响北美及其他地区饭店客户。