2018危机观察之(2):万豪5亿数据大泄露

事件回顾

2018年11月30日,万豪国际集团(下称“万豪”)在其官方网站及新浪微博公布其旗下喜达屋酒店的顾客预订数据库遭泄露。初步预计该数据库包含最多约5亿名客人信息,其中约3.27亿客人的信息中包括姓名、生日、性别、通讯地址、电话号码、电子邮件地址、护照号码、SPG会员信息、抵店与离店日期、预订日期和通讯偏好等信息。

*详见万豪新浪微博(https://www.weibo.com/marriotthotels)中文声明原文(长图地址):https://wx1.sinaimg.cn/mw690/b172dcc4gy1fxqd3f11rij20u043d4qq.jpg

我们今天打开万豪新浪微博发现首页只有一则文章,就是这张长图片。

吊诡的是,万豪的官方Twitter上并没有这起事件的相关信息。

万豪官方推特首页(https://twitter.com/Marriott)Nov 28后直接到Dec 5, Dec 27后直接跳到Jan
1,之间并无相关声明与跟进信息。

2019年1月4日,万豪官网再发英文更新公告。主要内容总结如下:

https://answers.kroll.com/

  • 公布了初步调查统计后的最新数字。把最初估计的最多5亿名客人的信息更新为最多3亿8千3百万客人信息可能遭泄露,其中包括估计约525万条未加密的护照号码、约860万张加密的信用卡信息,其中包括2018年9约到期的大约35万4千张支付卡。
  • 宣布自2018年底起终止喜达屋酒店预订系统

  • 宣布一些国家的顾客可免费获得一年网络监控服务(该服务由Experian公司提供,但仅对以下国家和地区的顾客适用:Australia,
    Brazil, Germany, Hong Kong SAR China, India, Ireland, Italy, Mexico, New
    Zealand, Poland, Singapore, Spain and the Netherlands.)这个网络监控服务产品全称叫IdentityWorks℠
    Global Internet Surveillance,目的是监控顾客个人信息是否在公共网络领域(博客、聊天室)及非公共网络领域(暗网)被非法使用。网址是:
    https://www.globalidworks.com/identity1

  • 宣布万豪正在筹建一个呼叫中心,供顾客致电查询其护照信息是否被影响。呼叫中心筹建成功时将在(https://info.starwoodhotels.com)统一宣布。

关于这起事件,国内外各大网站已有很多相关报道和文章。有从信息安全技术层面分析的,有从法律角度预测万豪接下来面临的法律风险的,本文仅从目前媒体上看到的万豪的反应和举措简要评述万豪在处理此次危机事件上的表现。

以下为本站独家观点,欢迎同仁指正,也欢迎万豪危机管理团队给我们留言。

观察之一:官方声明拖沓啰嗦,态度极不明朗

据万豪官网2018年11月30日的英文声明,万豪在2018年9月8日收到消息(未披露消息来源)称其内部一个安全工具和一起针对喜达屋顾客预订系统的不法企图有关。万豪立即部署内部高级安全专家展开调查,发现早在2014年就有针对喜达屋网络的非法入侵。最近又发现有不法分子已对这些数据进行了复制和加密并企图删除。2018年11月19日,万豪内部调查终于解码了这些数据可以确定数据的确来自喜达屋预订系统。

(上面这段话是对万豪11月30日英文声明第二段的简要翻译)

我们看完这个声明后的感觉是:这到底在说什么?9月8号接到线报,内部调查了两个月只是印证了一开始的怀疑——的确是喜达屋预订系统的数据被泄露了?细节到这种程度的声明实在不适合作为危机响应的官方声明。作为crisis response的第一则声明,应该遵守简洁原则。在确认事件的同时,不应该过分渲染细节,尤其不应该过度描写内部调查的步骤。媒体和公众要的只是一个清晰的结论。What happened?

观察之二:初始数据披露不严谨,不谨慎。

11月30日起,各大媒体对万豪事件的报道标题都是“万豪五亿数据泄露”,突出的是“五亿”这个震撼的数字。这个数字哪里来的?万豪官网自己宣布的。

我们的感觉是:你自己还没查清楚到底有多少条数据,多少条无效,多少条重复,就这么大手一挥——五亿???然后1月4日声明再改口说我们又仔细检查了一下,不是五亿,没有辣末多啦,只有3.83亿啦……这么多年来我们还从没见过这么缺心眼给自己找事儿的声明。你一开始不说五亿,直接说还在核实数据好不好???Speculation是危机管理中的大忌,大忌,大忌!

观察之三:建立统一新闻发布平台很好。

这是万豪做的唯一还可以的一点,反应还算快。但这个平台网址写的是https://info.starwoodhotels.com,点击后自动跳转到https://answers.kroll.com/,能不能给个合理的解释先呢大哥?隐形域名跳转都不会设置吗?

观察之四:推特上依然一派节日气氛

这次数据泄露的主要受害国还没有确定,因为影响到很多国家和地区。但新浪微博上主页只留一篇11月30日的声明,而Twitter主页压根儿不提这事。万豪大哥,你这是唱的哪一出请问?

观察之五:给某些国家的顾客赠送一年网络监控服务,文不对题。

这是我们观察到的万豪至今最大的一个败笔或错误。问题还没查清楚,还没法给出初步解决方案,顾客呼叫中心也还没建好,那你猴急猴急地引导别人体验哪门子网络监控服务啊?很多人估计点了那个链接都会觉得是一个隐性广告。这个举措出台的太早了万豪大哥。这应该是等你公布了事故原因,并且开通了全球顾客呼叫查询中心电话和机制后再宣布的,可以作为对数据受害顾客的一种精神抚慰,而不能替代解决方案。

观察之六:好了伤疤忘了疼。

那个网络监控服务网站只能被一些国家的顾客使用,大中华地区只有香港可以用。万豪大哥不觉得推出这个服务又有点没事找事了吗?不久前的地区名称处理不当被关停的伤疤已经好了吗?在这种事情上,PR部门是不是应该多个心眼呢?如果网络监控服务只适用于少数几个国家,干脆就先不要推出。等有了一些进展后再考虑慢慢推出也不晚。能够使用那款产品的13个国家非常没有代表性,连美国、英国、法国都不能用,中国也不适用。请问万豪这是面向哪些顾客的产品呢?

观察之七:两次声明均无任何歉意

Marriott deeply regrets this incident happened.这是我们看到的唯一一句表示不好意思的话。但在英语中deeply regret并不表示道歉,只是深表遗憾……

总结

截至今天(2019年1月5日),我们观察到的万豪在此次危机事件中的表现完全不及格。

官方声明中的信息杂乱、冗长。该详细的地方没详细,该笼统的地方瞎详细。1月4日的更新声明又提供了过多的“补救”方案,但显得很仓促,还没做好就急着宣布,并给了几个对不上号的链接。

与其那么急于向大家推广那个网络监控服务,还不如给大家一些切实可行立竿见影的建议,教教大家应该怎样修改密码或者怎样防止自己的信用卡信息泄露后不被非法使用。这才是所有人最关心的问题。

万豪啊,你可长点心吧~~