近日，万豪国际集团因系统安全漏洞泄露3000万欧洲经济区居民的个人数据，被英国信息专员办公室罚款1840万英镑（约合人民币1.6亿元），其中约700名英国居民受到影响。万。

英国信息专员办公室(ICO) 最初提议处以9920 万英镑的罚款，但该机构最终大幅减少了罚款金额。 ICO表示，它“正在考虑万豪为减轻该事件的影响以及Covid-19对其业务的经济影响而采取的措施”。今年第二季度，万豪净亏损2.34亿美元，这是近九年来首次出现季度亏损。

ICO 引用的事件可以追溯到2014 年，当时喜达屋酒店及度假村遭受网络攻击，直到2018 年9 月才被发现（当时喜达屋已被万豪收购）。 2018年5月，欧盟出台了《通用数据保护条例》（通用数据保护条例），此次罚款也是基于该条例的新规则。

万豪国际集团估计，大约3.39 亿客人的姓名、邮寄地址、电话号码、电子邮件、护照号码和其他数据在此次泄露中被泄露。

ICO 在一份声明中表示：“2014 年，一名身份不明的攻击者在喜达屋系统内的设备上安装了一段名为‘Web shell’的代码，使他们能够远程访问和编辑设备的内容。”

“利用此访问权限安装恶意软件将允许攻击者以特权用户身份远程访问系统。因此，攻击者可以不受限制地访问相关设备以及该帐户有权访问的网络上的其他设备。

攻击者安装了额外的工具来收集喜达屋网络内其他用户的登录凭据。使用这些凭据，攻击者能够访问和导出存储喜达屋客户预订数据的数据库。 ”

英国Mishcon de Reya律师事务所合伙人尼尔·贝勒斯(Neil Bayless)对酒店管理网分析称：“用户数据侵权事件发生在万豪收购喜达屋之前，因此很难责怪万豪，但这是一件非常大的事情。”教训是，在收购一家公司时，应对其数据保护政策进行仔细的尽职调查，同时考虑到处理的个人数据量的高风险性质以及旅行和运输行业的业务结构。”

拥有大量优质用户数据的大型酒店集团和航空公司一直是黑客觊觎的对象。

就在今年10月，英国航空公司还因2018年数据泄露事件“未能保护其超过40万客户的个人和财务详细信息”而被ICO罚款2000万英镑。这也是ICO 迄今为止的失败之处。最大一笔罚款，但与万豪一样，考虑到疫情对企业的影响，ICO的罚款金额比最初提出的1.83亿英镑要少得多。今年3月，ICO还因安全漏洞对国泰航空处以罚款。国泰航空于2018年宣布遭遇黑客攻击，影响了全球940万人的数据，其中包括约11万英国居民。

对于ICO的罚款决定，万豪国际集团表示：“我们对这一事件深感遗憾。万豪国际集团将继续致力于保护宾客信息的隐私和安全，并继续大力投资于安全措施来保护系统。ICO承认万豪国际集团负责发现这一事件。”并及时告知并保护客人的利益。

“万豪酒店向客人保证，数据泄露和ICO 处罚仅涉及喜达屋酒店及度假村的独立网络，该网络已不再使用。”