美国联邦贸易委员会（FTC）表示，万豪国际和喜达屋的数据泄露需要进行13项修复。

美国联邦贸易委员会（FTC）对一系列大规模的万豪和喜达屋数据泄露事件做出了回应，要求这些公司至少进行13项更改，以确保此类事件不会再次发生。

超过3.44亿名客户受到三个独立安全漏洞的影响，这些漏洞揭示了个人数据，包括信用卡详细信息和护照信息……

万豪和喜达屋数据泄露事件

第一个漏洞可以追溯到2018年。

万豪国际酒店集团是最新一家宣布大规模黑客攻击其客户数据库的公司。

对于大约3.27亿名客人，这些信息包括姓名、邮寄地址、电话号码、电子邮件地址、护照号码、万豪Preferred Guest（“SPG”）账户信息、出生日期、性别、入住和离店信息、预订日期以及通信偏好。对于一些客人，这些信息还包括支付卡号码和支付卡到期日，但支付卡号码使用高级加密标准（AES-128）进行了加密。解密支付卡号码需要两个组件，目前 Marriott 还不能排除两者都被窃取的可能性。

又有两次进一步的黑客攻击。

FTC 要求进行 13 处更改

美国联邦贸易委员会现在已要求两家酒店集团实施广泛的更改，以防止任何重复过去失败的情况，从而使攻击得以成功。

根据命令，万豪和喜达屋必须建立一个全面的信息安全计划，以帮助保护客户个人信息，实施一项政策，仅在合理必要的时间内保留个人信息，并在其网站上为美国客户提供一个链接，请求删除与电子邮件地址或忠诚奖励账户号码相关的个人信息。该命令还要求万豪根据客户需求审查忠诚奖励账户并恢复被盗的忠诚积分。

这些公司还被禁止歪曲他们如何收集、维护、使用、删除或披露消费者个人信息的方式；以及公司保护个人隐私、安全、可用性、机密性和完整性的程度。

鉴于许多规定非常基础，它们实际上是对情况糟糕的相当有力的谴责。例如，公司必须对你数据的用途说实话：

响应方、响应方的官员、代理人和雇员，以及所有与他们以任何方式主动合作或参与的其他人员，在收到本命令的实际通知后，无论是直接还是间接地，与任何产品或服务有关时，不得以任何方式（明示或暗示）误导他人：A. 响应方对个人信息的收集、维护、使用、删除或披露；以及B. 响应方保护个人信息隐私、安全、可用性、机密性和完整性的程度。

其他要求包括对员工进行数据安全培训、制定应对威胁的计划、建立检测入侵的政策以及使用两因素认证。

由 Jonathan Kemper 在 Unsplash 上拍摄的照片