1

Kolejna duża kara za złamanie RODO. Tyle zapłaci Marriott

Marriott, właściciel hoteli Starwood najpewniej zapłaci olbrzymią karę za złamanie postanowień wynikających z GDPR (RODO): brytyjski urząd zajmujący się naruszeniami dyrektywy, UK Information Commissioner’s Office zamierza ukarać firmę hotelarską karą w wysokości niemal 124 mln dolarów (123,705,869).

O intencji urzędników dowiadujemy się z informacji prasowej przekazanej przez instytucję. Kara dotyczy nieuprawnionego dostępu do bazy danych odnoszącej się do systemu rezerwacji – z tego powodu dane klientów zostały przejęte przez cyberprzestępców. Na niekorzyść sieci hotelarskiej przemawia również fakt, iż wyciek trwał do najmniej od 2014 roku i nie został zidentyfikowany do roku 2018, kiedy Marriott przejął sieć Starwood. Urzędnicy wykazali, iż operator danych osobowych nie powziął wystarczających kroków w zakresie zabezpieczenia informacji należących do klientów usługodawcy. Tym samym kara wydaje się być sprawiedliwa i nieunikniona.

Z powodu wycieku, na całym świecie doszło do wycieku informacji dotyczących około 339 mln klientów sieci Starwood. Urzędnicy wzięli pod uwagę to, że naruszenie integralności bazy danych poskutkowało przejęciem przez cyberprzestępców 30 mln rekordów odnoszących się do rezydentów regionu EEA. Arne Sorenson, CEO Marriott International odniósł się do tej kary twierdząc, że jest z niej bardzo niezadowolony – firma ściśle współpracowała z ICO nad wyjaśnieniem okoliczności tych wydarzeń i nie utrudniała urzędnikom długotrwałego śledztwa. Tym samym, prezes uważa, że nałożona sankcja pieniężna powinna być znacznie mniejsza.

Rozmiar wycieku był ogromny – nie tylko z punktu widzenia ilości klientów

Warto przypomnieć, że ten wyciek nie tylko był obszerny w kontekście przejętych rekordów, ale i danych, które tam się pojawiły. Niestety, informacje o środkach płatniczych klientów również zostały skradzione, podobnie jak i informacje potrzebne do ich odszyfrowania:

Najwięcej emocji wzbudzają doniesienia o przejęciu danych płatniczych klientów: nie we wszystkich przypadkach doszło do wycieku akurat tych informacji. Wiadomo, że Marriott / Starwood korzystał w kontekście kart płatniczych z szyfrowania AES-128, jednak wszystkie potrzebne do odszyfrowania danych również zostały wykradzione.

RODO GDPR

Sieć hoteli wdrożyła pewne kroki zmierzające ku minimalizacji skutków wycieku, jednak blisko 4 lata „zwłoki” w kontekście ustalenia incydentu według urzędników było czynnikiem karygodnym:

W wypowiedziach przekazanych do mediów, Marriott przeprosił za ten wyciek i zapewnił, że zrobi wszystko, aby zapobiec takim incydentom w przyszłości. Jednocześnie, obiecał wyjaśnić okoliczności incydentu oraz rozpoczął działania zmierzające do ochrony danych klientów. Sprawa została zgłoszona organom ścigania, którzy pomagają ekspertom Marriott w ocenie sprawy. Co więcej, stworzona została dedykowana strona internetowa dla klientów, gdzie mogą oni dowiedzieć się więcej o wycieku. Uruchomiono również specjalne call center, a także: użytkownicy sieci hoteli mogą skorzystać z WebWatcher za darmo, by ochronić się przed np. kradzieżą tożsamości.

Źródło: materiał o wycieku w hotelach Starwood na Antyweb

Nie wiadomo, w jaki sposób Marriott ustosunkuje się do tej kary i jakie będą dalsze losy tej sprawy. Możliwe, że koncern odwoła się od tej decyzji, próbując negocjować sankcję. Biorąc pod uwagę wypowiedzi CEO Marriott, możliwe jest, że taki scenariusz okaże się najbardziej prawdopodobny.

To nie jedyny gigant, który wkrótce otrzyma wysoką karę. British Airways na celowniku

W informacji prasowej ICO można wyczytać również, że lotniczy gigant w Wielkiej Brytanii, British Airways grozi kara w wysokości niemal 229 mln dolarów (znacznie więcej niż w przypadku Marriott International) w związku z incydentem cybernetycznym z roku 2018. Wtedy to, linia lotnicza miała utracić kontrolę nad danymi około 500 000 klientów – te padły łupem cyberprzestępców. Hakerzy wykorzystali Magecart do przejmowania informacji o kartach płatniczych klientów British Airways.