Marriott International – kolejny wyciek danych

Jakub Zuber

17 kwietnia 2020 r.

„Pod koniec lutego 2020 r. stwierdziliśmy, że nieoczekiwana ilość informacji o gościach mogła zostać uzyskana przy użyciu danych do logowania dwóch pracowników w obiekcie franczyzowym" –  powiedział przedstawiciel sieci Marriott w oświadczeniu. „Uważamy, że ta działalność rozpoczęła się w połowie stycznia 2020 r. Po jej odkryciu potwierdziliśmy, że dane do logowania zostały zablokowane, natychmiast rozpoczęliśmy dochodzenie, wdrożyliśmy wzmożony monitoring i zorganizowaliśmy zasoby do informowania i wspierania gości."

Ujawnione zostały dane osobowe gości, takie jak dane kontaktowe (nazwisko, adres pocztowy, adres e-mail i numer telefonu), informacje o koncie lojalnościowym (numer konta i saldo punktów) oraz dodatkowe informacje, takie jak firma, płeć, daty urodzenia, preferencje dotyczące pokoju i języka.

Przedstawiciele giganta z branży hotelarsko-gastronomicznej oświadczyli, że dochodzenie w sprawie tego naruszenia jest w toku, ale nie ma żadnych dowodów na to, że zostały naruszone.hasła do konta Marriott Bonvoy lub kody PIN, informacje o kartach płatniczych, informacje o paszportach, krajowe dokumenty tożsamości lub numery prawa jazdy

Marriott założył również samoobsługowy portal internetowy dla gości, który pozwala im na sprawdzenie, czy ich dane osobowe były zaangażowane w to naruszenie i jakie kategorie informacji zostały ujawnione. Ponadto oferuje on zainteresowanym użytkownikom możliwość bezpłatnego zarejestrowania się w IdentityWorks, usłudze monitorowania informacji osobowych, przez okres  roku.

Firma podjęła już kroki zmierzające do dezaktywacji haseł członków Marriott Bonvoy, którzy mieli swoje informacje potencjalnie narażone w tym incydencie i zostanie powiadomiona o konieczności zmiany haseł podczas kolejnego logowania, a także zostanie poproszona o umożliwienie uwierzytelniania wieloskładnikowego (MFA).

Przypomnijmy, że poprzedni incydent doprowadził do przejęcia bazy danych rezerwacji gości Starwood Hotels w roku 2014, która została przejęta przez Marriott w roku 2016. Naruszenie, które ujawniło dane osobowe ponad 339 milionów gości na całym świecie, zostało wykryte dopiero w listopadzie 2018 r., co doprowadziło do zapłacenia kary w wysokości 99 milionów funtów (123 milionów dolarów) na rzecz brytyjskiego organu regulacyjnego ds. ochrony danych osobowych Information Commissioner's Office zgodnie z przepisami GDPR.

Wyciek danych jaki miał obecnie miejsce pokazuje nam co najmniej dwie rzeczy: pierwsza to taka, że incydenty mają tendencję do powtarzania się oraz druga, że w czasach koronawirusa widać jak na dłoni wzmożoną aktywność hakerów.

Cyberbezpieczeństwo zawsze było istotne a dzisiejsze czasy wymusiły na nas przeniesienie wszystkich biznesów do internetu, co z kolei przekłada się na zachętę dla hakerów.

W każdym biznesie od pierwszego dnia przeprowadza się analizę ryzyka. Jest to bardzo złożony, bardzo pracochłonny proces. Niestety często aspekt cyberbezpieczeństwa jest pomijany lub przeprowadzony niedokłanie,  co finalnie wiąże się z wysokimi kosztami.