高高舉起，輕輕放下！萬豪國際資料外洩只被英國判罰1,840萬英鎊

負責資料保護的英國資訊專員辦公室（Information Commissioner's Office，ICO），上周針對全球最大連鎖飯店萬豪國際（Marriott International）的資料外洩事件作出正式裁決，判罰1,840萬英鎊（約7億元新台幣），一如外界預期，真正的裁罰不到最初判罰9,900萬英鎊的1/5，與英國航空資料外洩案如出一轍。

根據ICO的調查，喜達屋酒店及度假酒店國際集團（Starwood Hotels & Resorts Worldwide, Inc.）是在2014年遭到網路攻擊，而此一攻擊卻是到2018年9月才被發現，至於萬豪國際則是在2016年才買下喜達屋。

調查顯示，駭客先是在喜達屋的系統中植入了Web Shell，進而安裝惡意程式以讓駭客取得系統的存取特權，以及蒐集其它使用者的登入憑證。

相關的攻擊釀成喜達屋酒店及度假酒店國際集團的3.39億名房客的資料外洩，包括姓名、電子郵件帳號、電話號碼、未加密的護照號碼、航班資訊、VIP狀態與會員卡號碼等，當中有700萬名房客為英國人。

ICO說明，雖然攻擊始於2014年，但計算罰款的時間點則是自GDPR生效的2018年5月25日起，在去年7月宣布將開罰之後，萬豪國際已採取諸多措施來改善系統的安全性並減輕資料外洩所造成的影響，再加上考量飯店業因疫情所帶來的經濟衝擊，酌情作出最終處分。