万豪集团同意向美国 49 个州和华盛顿特区支付 5200 万美元和解金,以和解 2014 年至 2020 年期间发生的系列数据泄露事件,受影响客户超过 3.34 亿。 作为单独协议的一部分,联邦贸易委员会还要求万豪及其子公司喜达屋酒店及度假村集团(Starwood Hotels & Resorts Worldwide)实施一项信息安全计划,以解决对数据泄露事件的指控;
联邦贸易委员会消费者保护局局长塞缪尔-莱文(Samuel Levine)在一份声明中说:"万豪糟糕的安全措施导致了多起数据泄露事件,影响了数以亿计的客户。联邦贸易委员会今天的行动将与我们的州合作伙伴协调,确保万豪改善其在全球各地酒店的数据安全做法。"
美国联邦贸易委员会称,万豪酒店及其 2016 年收购的喜达屋酒店欺骗客户,声称拥有合理、适当的数据安全保障,但却让客户容易受到数据泄露的影响。 美国联邦贸易委员会的投诉称,万豪未能实施适当的密码控制、防火墙控制或网络分段。 据美国联邦贸易委员会称,该公司未能修补过时的软件和系统,也没有部署多因素身份验证。
在 2020 年发现的一起事件中,黑客从马里兰州巴尔的摩 BWI 机场万豪酒店窃取了约 20GB 的员工和客户数据。 这些数据包括机密业务文档和客户付款信息,其中包括信用卡授权表。
作为和解协议的一部分,万豪同意向所有美国客户提供一种方法,要求删除与其电子邮件地址或会员奖励账号相关的任何个人信息。 据联邦贸易委员会称,客户的护照信息、借记卡和信用卡号码、出生日期、电子邮件地址、忠诚度号码和其他信息在泄密事件中被曝光。 万豪还被要求审查积分账户,并应要求恢复客户被盗的积分。