Marriott International ucierpiał w wyniku jednego z największych w historii naruszeń bezpieczeństwa danych, ustępując pod tym względem jedynie atakowi na Yahoo, dokonanemu w 2013 r. Największa na świecie sieć hotelarska stwierdziła, że naruszonych zostało około 500 mln rekordów z danymi klientów.
Z początkiem września Marriott International poinformował na swojej stronie internetowej o ostrzeżeniu, wygenerowanym przez wewnętrzny mechanizm bezpieczeństwa, wskazującym na „próbę uzyskania dostępu do bazy danych systemu rezerwacji miejsc hotelowych sieci Starwood w Stanach Zjednoczonych”. Marriott kupił Starwood w 2016 roku za 12,2 mld dolarów.
Z przeprowadzonego śledztwa wynika, że począwszy od 2014 r. dochodziło do nieautoryzowanego dostępu do sieci Starwood – poinformowała sieć hoteli. – Niedawno firma odkryła, że nieautoryzowany podmiot skopiował i zaszyfrował dane oraz podjął kroki zmierzające do ich usunięcia z bazy. 19 listopada br. Marriott zdołał odszyfrować dane i ustalić, czy pochodzą one faktycznie z bazy danych systemu rezerwacji sieci Starwood.
Marriott uważa, że hakerzy narazili na szwank ok. 500 mln rekordów danych. W przypadku ok. 327 mln osób, które dokonały rezerwacji w hotelach Starwood, potencjalnie naruszone informacje obejmują kombinację: imienia i nazwiska, adresu pocztowego, numeru telefonu, adresu e-mail, numeru paszportu, informacji o koncie Starwood Preferred Guest (SPG), daty urodzenia, płci, informacji o przylotach i odlotach, daty rezerwacji i preferencji dotyczących komunikacji. W przypadku niektórych klientów wyciek danych obejmuje także zaszyfrowane numery kart płatniczych i daty ich wygaśnięcia.
Istnieją dwa elementy potrzebne do odszyfrowania numerów kart płatniczych i w tej chwili Marriott nie może wykluczyć, że oba dostały się w ręce przestępców – czytamy w ostrzeżeniu.
Aby pomóc narażonym klientom Firma Marriott opublikowała stronę z często zadawanymi pytaniami i otworzyła dedykowane centrum obsługi telefonicznej. Sieć hotelowa zapewnia także jeden rok monitorowania Internetu – pod kątem nieuprawnionego wykorzystania danych – za pośrednictwem WebWatchera.
Bardzo żałujemy, że doszło do tego incydentu – powiedział Arne Sorenson, prezes i dyrektor generalny Marriotta. – Nie sprostaliśmy własnym oczekiwaniom i zawiedliśmy naszych gości. Robimy wszystko, co w naszej mocy, aby wykorzystując zdobyte doświadczenia wesprzeć swoich klientów. I aby iść dalej.
Marriott narażony jest na wysokie grzywny, jeśli naruszone zostały informacje o mieszkańcach Unii Europejskiej – co prawdopodobnie ma miejsce. Zgodnie z ogólnym rozporządzeniem o ochronie danych, UE może obciążyć Marriott równowartością 4% jego rocznych obrotów – komentuje Dariusz Woźniak, inżynier techniczny Bitdefender z firmy Marken.
Raport Quartz, w którym odnotowano 20 największych pod względem liczby zhakowanych rekordów naruszeń bezpieczeństwa danych, plasuje atak na Marriotta na drugim miejscu, tuż za incydentem Yahoo 2013, w którym złamano 3 miliardy rekordów z danymi użytkowników.