五金美国联邦贸易委员会周五宣布了一项命令（pdf），要求万豪国际酒店集团（Marriott International）及其子公司喜达屋酒店集团（Starwood Hotels）改善其数字安全。美国联邦贸易委员会指控这些公司的安全措施松懈，导致在 2015 年、2018 年和 2020 年发现了三次大的漏洞，影响了全球超过 3.44 亿客户，泄露了护照详细信息、支付卡和其他信息。

　　最短的一次漏洞持续了 14 个月才被发现，而最长的一次从 2018 年开始，攻击者甚至持有了酒店IT系统四年的访问权限。酒店运营方同意建立的强化安全计划包括制定政策，只在需要时保留信息，并发布链接，允许美国客户要求删除与其电子邮件地址或忠诚度账户相关的信息。

　　酒店一直是黑客攻击的主要目标之一，去年的一次入侵事件让美国联邦贸易委员会主席莉娜-汗（Lina Khan）成为了众多等待入住的人中的一员，当时勒索软件的攻击迫使美高梅度假村重新使用纸笔。

　　美国联邦贸易委员会于10月宣布了对这些公司的指控，指责它们欺骗消费者，谎称合理、适当的数据安全。 这些公司被指控的失误包括密码和防火墙操作不当，以及没有为过时的软件和系统打补丁。

　　建立、实施和维护全面的信息安全计划，其中包括加密、访问控制、多因素身份验证、漏洞管理和事件响应计划

　　万豪必须制定政策，仅在合理必要的情况下保留个人信息，并在其网站上提供链接，供美国消费者申请删除其个人信息

　　在 20 年内每两年对信息安全计划进行一次独立评估，并向联邦贸易委员会报告任何已发现的漏洞。

　　为美国消费者提供一种方法，以审查其忠诚奖励账户中可疑的未经授权的活动，并在出现漏洞时恢复这些积分

　　联邦贸易委员会的命令要求万豪和喜达屋在命令生效之日起 180 天内（即 2024 年 12 月 20 日）实施所要求的全面信息安全计划和相关措施，最后期限为 2025 年 6 月 17 日。

　　除了提高安全性外，这些公司现在还被禁止虚假陈述其收集、维护、使用、删除或披露消费者个人信息的方式，以及公司保护个人信息的隐私性、安全性、可用性、保密性或完整性的程度。 其他要求还包括保留合规记录并接受联邦贸易委员会的检查。 该命令的有效期为 20 年。

　　就在联邦贸易委员会披露指控的同一天，康涅狄格州总检察长办公室宣布万豪公司已同意 5200 万美元的和解协议。FTC要求万豪和喜达屋酒店必须提高数据安全性