在2014和2015年度，美國連鎖酒店希爾頓就支付卡違規(guī)問題與紐約州和佛蒙特州達成和解。

希爾頓同意支付70萬美元，40萬給紐約州，30萬給佛蒙特州，并且承諾在提高數(shù)據(jù)安全和入侵披露實踐方面加快腳步。

紐約州和佛蒙特州的律師發(fā)起的2015年報道的兩起希爾頓安全事件的調(diào)查，而彼時連鎖酒店認為攻擊者已經(jīng)獲取了至少36.3萬信用卡的信息。

第一次入侵發(fā)生在2015年2月10日，計算機服務(wù)供應(yīng)商告知希爾頓酒店在他們的系統(tǒng)里面有可疑的流量。調(diào)查顯示，用于盜竊支付卡數(shù)據(jù)的惡意軟件，于11月18日和12月5日之間在公司系統(tǒng)里面被激活。

2015年7月發(fā)現(xiàn)第二次入侵，攻擊者利用惡意軟件在2015年4月21日和7月27日之間收集了超過36.3萬的支付卡卡號。調(diào)查人員發(fā)現(xiàn)，一個文件夾內(nèi)的數(shù)據(jù)已經(jīng)準備好外泄。

但是，希爾頓只告知了消費者第一次入侵后9個月（2015年11月）的那次數(shù)據(jù)泄露。希爾頓解釋說沒有證據(jù)證明攻擊者確實盜取了支付卡數(shù)據(jù)，由于黑客們已經(jīng)處理了他們的登陸痕跡，所以調(diào)查人員無法看到所有的日志。

權(quán)威人士對公司在事件發(fā)生后如此長的時間才提醒用戶的行為表示不滿。根據(jù)紐約一般商業(yè)法律，公司必須在最及時的時間，并且不能無故拖延公布數(shù)據(jù)泄露事件。

由佛蒙特州和紐約州律師組成的調(diào)查組也表示，希爾頓違反了某些支付卡行業(yè)數(shù)據(jù)安全標準的要求(PCIDSS)。

權(quán)威人士還認為希爾頓違反了“禁止欺騙行為”的法律，由于告知用戶，他們的個人信息已用合理的數(shù)據(jù)安全機制進行保護。

作為和解方案的一部分，希爾頓酒店除了支付70萬美元以外，在未來，一旦發(fā)生安全事件將會盡快通知用戶，并且創(chuàng)建和維護一個全面的數(shù)據(jù)安全項目，還要對PCI DSS協(xié)議的實施情況做出一個年度評估報告。

希爾頓僅僅是在過去數(shù)年中遭受支付卡攻擊的許多連鎖酒店中的一員。包括Hyatt, Trump, Millennium, InterContinental, Omni, Mandarin Oriental, and Kimpton 在內(nèi)的連鎖酒店都曾經(jīng)經(jīng)歷過類似的事件。