一個不願具名的駭客組織向Databreach.net網站爆料,他們於6月駭入萬豪位於馬里蘭州BWI機場的萬豪飯店一臺伺服器,並成功外洩該飯店客戶及公司機密資料。(示意圖,圖片來源/萬豪)

全球最大飯店集團萬豪國際(Marriott)本周傳出勒索軟體攻擊,可能洩露20GB資料,包括客戶信用卡等個資以及公司業務、人事部機密資訊,影響300餘人。本事件也是這家飯店集團4年內第3次資料外洩。

這次事件是由駭客主動向Databreach.net網站爆料,該網站稱其為GNN(Group of No Name)。GNN聲稱於6月駭入萬豪位於馬里蘭州BWI機場的萬豪飯店一臺伺服器,並成功外洩該飯店客戶及公司機密資料。駭客也聲稱和萬豪就付款進行交涉過,但後者後來中斷聯繫。

萬豪透過委託律師事務所向媒體坦承勒索軟體攻擊及資料外洩,但這家飯店表示,入侵事件已在6小時內控制住。本事件已經通報執法單位,萬豪也通知了包含客戶及員工在內300多人,公司也正在調查此事。

至於駭客如何駭入伺服器,萬豪方面表示是透過社交工程,騙取一名助理員工的電腦帳密使其得以存取公司網路。GNN則暗示是因為萬豪安全做得太差而讓他們突破防護,輕易取得資料。

GNN宣稱取得20GB資料,也分享了部份文件作為證明。不過萬豪方面表示,根據其調查,除了該助理之外沒有其他資料遭到洩露。

根據GNN提供的資料樣本,這批檔案包含飯店集團的內部機密業務文件,像是勞工管理及排程平臺存取資料、人事部門資料、飯店住客及飯店人員資料等。住客資料方面包含航空機組人員的入住資料,像是到達及預定起飛的航班、姓名、職位及預定房間號碼、航空公司信用卡號碼等。以檔案日期判斷,部份飯店資料檔案可能已經失效。

GNN駭客稱已經和萬豪就支付贖款進行聯繫,但飯店方面之後中斷連繫,可能是因為聽到索價太高而退縮,因此雙方並未有實質付款情形。

GNN自稱已經活動5年,只是一直很低調以避免事情張揚,該組織聲稱只攻擊企業,不攻擊政府,而且他們不會加密企業檔案以免破壞組織作業。

這是萬豪酒店集團4年來第3次資料外洩事件。2018年底萬豪國際集團下喜達屋連鎖包括W Hotels、喜來登、威斯汀、艾美等知名飯店的客戶資料庫入侵,導致5億住客資料外洩。2020年7月集團的顧客管理系統再遭駭,洩露約520萬名顧客個資。萬豪2018年的重大資訊外洩事件也名列史上外洩資料最多的單一事件之一,被英國政府判罰1,840萬英鎊。

熱門新聞

Advertisement