在2014和2015年度,美國(guó)連鎖酒店希爾頓就支付卡違規(guī)問(wèn)題與紐約州和佛蒙特州達(dá)成和解。
希爾頓同意支付70萬(wàn)美元,40萬(wàn)給紐約州,30萬(wàn)給佛蒙特州,并且承諾在提高數(shù)據(jù)安全和入侵披露實(shí)踐方面加快腳步。
紐約州和佛蒙特州的律師發(fā)起的2015年報(bào)道的兩起希爾頓安全事件的調(diào)查,而彼時(shí)連鎖酒店認(rèn)為攻擊者已經(jīng)獲取了至少36.3萬(wàn)信用卡的信息。
第一次入侵發(fā)生在2015年2月10日,計(jì)算機(jī)服務(wù)供應(yīng)商告知希爾頓酒店在他們的系統(tǒng)里面有可疑的流量。調(diào)查顯示,用于盜竊支付卡數(shù)據(jù)的惡意軟件,于11月18日和12月5日之間在公司系統(tǒng)里面被激活。
2015年7月發(fā)現(xiàn)第二次入侵,攻擊者利用惡意軟件在2015年4月21日和7月27日之間收集了超過(guò)36.3萬(wàn)的支付卡卡號(hào)。調(diào)查人員發(fā)現(xiàn),一個(gè)文件夾內(nèi)的數(shù)據(jù)已經(jīng)準(zhǔn)備好外泄。
但是,希爾頓只告知了消費(fèi)者第一次入侵后9個(gè)月(2015年11月)的那次數(shù)據(jù)泄露。希爾頓解釋說(shuō)沒(méi)有證據(jù)證明攻擊者確實(shí)盜取了支付卡數(shù)據(jù),由于黑客們已經(jīng)處理了他們的登陸痕跡,所以調(diào)查人員無(wú)法看到所有的日志。
權(quán)威人士對(duì)公司在事件發(fā)生后如此長(zhǎng)的時(shí)間才提醒用戶(hù)的行為表示不滿(mǎn)。根據(jù)紐約一般商業(yè)法律,公司必須在最及時(shí)的時(shí)間,并且不能無(wú)故拖延公布數(shù)據(jù)泄露事件。
由佛蒙特州和紐約州律師組成的調(diào)查組也表示,希爾頓違反了某些支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)的要求(PCIDSS)。
權(quán)威人士還認(rèn)為希爾頓違反了“禁止欺騙行為”的法律,由于告知用戶(hù),他們的個(gè)人信息已用合理的數(shù)據(jù)安全機(jī)制進(jìn)行保護(hù)。
作為和解方案的一部分,希爾頓酒店除了支付70萬(wàn)美元以外,在未來(lái),一旦發(fā)生安全事件將會(huì)盡快通知用戶(hù),并且創(chuàng)建和維護(hù)一個(gè)全面的數(shù)據(jù)安全項(xiàng)目,還要對(duì)PCI DSS協(xié)議的實(shí)施情況做出一個(gè)年度評(píng)估報(bào)告。
希爾頓僅僅是在過(guò)去數(shù)年中遭受支付卡攻擊的許多連鎖酒店中的一員。包括Hyatt, Trump, Millennium, InterContinental, Omni, Mandarin Oriental, and Kimpton 在內(nèi)的連鎖酒店都曾經(jīng)經(jīng)歷過(guò)類(lèi)似的事件。