Radisson Hotel Group可以是GDPR测试案例

Radisson Hotel Group，包括超过70个国家的1,400多家酒店，已违反其雷迪森奖励计划的“一小部分”的个人数据。

所有受影响的成员都已通过电子邮件通知，但该集团在欧盟一般数据保护条例（GDPR）的要求之后，该集团已达到了一个多个月才能报告违约。

该集团包括Park Plaza，Park Inn，Radisson Blu，Radisson Red，Country Inn＆Suites以及Radisson Collection。其忠诚计划的成员很可能包括由GDPR涵盖的欧盟公民。该集团也总部位于布鲁塞尔的欧盟。

Radisson表示，10月1日，它已经确定了一个影响Radisson Rewards成员的数据安全事件，但没有收到信用卡信息，密码或以前的酒店住宿或未来的预订。

但是，该小组在发生违规时没有说，黑客如何设法获取未经授权访问数据。

一些报告表明，违约发生在9月11日，这表明其入侵检测能力有限。Radisson对有多少人含糊不清的事实促使猜测数量令人尴尬。

本集团表示，其调查正在进行中，但透露了所公开的信息包括姓名，地址，居住国，电子邮件地址，以及在某些情况下，公司名称，电话号码，Radisson Rewards会员编号和常旅客编号。

在确定此问题后，酒店集团表示，所有未经授权的访问已被封锁，所有受影响的成员账户被抵押并标记监测。

“虽然对Radisson Rewards帐户的持续风险很低，请监控您的帐户是否有任何可疑活动，”本集团告诉计划成员。

本集团还警告成员，第三方可能会声称是Radisson奖励，并试图通过欺骗收集个人信息，例如使用与假网站的链接等欺骗。

“Radisson奖励非常认真地采取了这一事件，并对事件进行了持续的广泛调查，以帮助防止未来再次发生数据隐私事件，”集团表示。

安全公司Cyber​​ ay的情报服务高级总监Rossrustici表示，违规行为将是在GDPR下的一个有趣的测试案例，自2018年5月25日以来一直全力。

“就像英国航空公司今年早些时候一样，每个遭受事件的主要公司都将成为一个试验台，以便GDPR的强制获得，以及私营部门实际上可以从法规中预期的，”他说。

对于违反GDPR的特定文章或发现违约违反本组织的义务，Radisson集团可以高达10亿欧元，或者年度全球营业额的2％，以较高者为准。但如果发现违约者侵犯了任何史式的隐私权，则本集团可能会享有高达2000万欧元或4％的全球营业额，以较高者为准。

Rustici表示，违规可能是重要的，因为地址，常旅客数字和Radisson奖励数字的组合对于特定，低发病率，刑事用例有用。

“与大规模信用卡违规不同，这些信息的最有可能的方式是通过增强特定史式的类似分析模式，高净值或具有具体访问的人。他说，这种类型的信息对于智力目标封装而言，对于大规模的货币化是更有用的。“

Tony Richards，Group Ciso和Falanx Group咨询头部表示，由于违约似乎是由于攻击者具有授权员工的凭据，它将有趣，看看这些是否被盗，如果这些是在网络钓鱼攻击或类似的情况下被盗。

“虽然可以放置安全控制来降低网络钓鱼攻击成功的可能性，但它们无法100％的时间停止。这就是为什么使用MFA [Multifactor认证]等安全控制很重要，“他说。

作为金融服务和其他高度监管的行业锁定了他们的应用和网站，攻击者越来越多地升级到仍然“富裕”的较软的目标，这些目标仍然是“富裕”的那种个人信息，可以被盗，然后被货币化，观察到生锈的卡特， ARXAN Technologies的产品管理副总裁。

“Radisson Breach进一步突出了酒店行业作为目标的目标和公司识别攻击的弱点，”他说。

“即使在类似GDPR这样的立法，公司也无法确保或迅速披露客户信息的损失。消费者信任受到压力的压力，我们可能会接近一个戏剧性的消费者加上政府反应将对对业务绩效的影响急剧和持久的影响。“