4

Marriott „wtopił”. Dane 500 mln klientów zostały wykradzione

Marriott przyznał się do naruszenia bezpieczeństwa bazy danych hoteli Starwood, marki nabytej przez Marriott w 2016 roku. Jak wynika z najświeższych analiz, nieautoryzowany dostęp do informacji o klientach trwał od roku 2014. Wśród zagrożonych informacji są te zbierane m. in. przez hotele Sheraton, St. Regis, Westin i inne.

Analitycy Starwood odkryli, że wykradziono przynajmniej 327 mln rekordów zawierających imiona, adresy e-mail, telefony, numery paszportów, a w niektórych przypadkach nawet informacje płatnicze klientów. Najprawdopodobniej, wśród ofiar nie znaleźli się bywalcy hoteli Marriott, których dane znajdują się w osobnej bazie, niezwiązanej z obiektami Starwood.

Starwood Hotels and Resorts Worldwide to międzynarodowa sieć hoteli, w której znajdują się takie marki jak: Sheraton, Four Points by Sheraton, St. Regis, The Luxury Collection, Le Meridien, W Hotels, Westin, aloft, Element. W roku 2016 doszło do przejęcia Starwood przez Marriott. Właściciel utrzymuje, że klienci Marriott oraz innych marek (poza tymi przejętymi wraz ze Starwood) są absolutnie bezpieczni i nie muszą obawiać się o możliwe wykorzystanie ich danych.

Najwięcej emocji wzbudzają doniesienia o przejęciu danych płatniczych klientów: nie we wszystkich przypadkach doszło do wycieku akurat tych informacji. Wiadomo, że Marriott / Starwood korzystał w kontekście kart płatniczych z szyfrowania AES-128, jednak wszystkie potrzebne do odszyfrowania danych również zostały wykradzione.

Marriott

Przez 4 lata nikt nie wiedział o tym wycieku

Przez 4 lata Starwood / Marriott nie udało się odkryć wycieku informacji: w tym momencie trwają czynności zmierzające ku wyjaśnieniu okoliczności sprawy. Oświadczenia Marriotta nie wskazują na możliwą przyczynę incydentu – nie wiadomo również kto zorganizował tę operację oraz czy dane klientów zostały już gdziekolwiek przekazane.

W wypowiedziach przekazanych do mediów, Marriott przeprosił za ten wyciek i zapewnił, że zrobi wszystko, aby zapobiec takim incydentom w przyszłości. Jednocześnie, obiecał wyjaśnić okoliczności incydentu oraz rozpoczął działania zmierzające do ochrony danych klientów. Sprawa została zgłoszona organom ścigania, którzy pomagają ekspertom Marriott w ocenie sprawy. Co więcej, stworzona została dedykowana strona internetowa dla klientów, gdzie mogą oni dowiedzieć się więcej o wycieku. Uruchomiono również specjalne call center, a także: użytkownicy sieci hoteli mogą skorzystać z WebWatcher za darmo, by ochronić się przed np. kradzieżą tożsamości.

Jest to jeden z większych wycieków w ostatnich latach. Do 500 mln zagrożonych klientów to niesamowite liczby – ale cały czas doskonale pamiętamy to, co stało się z Yahoo w ostatnich latach. Łącznie, w dwóch bardzo potężnych wyciekach firma nie upilnowała informacji… 3,5 miliarda użytkowników swoich usług. Jednak w przypadku Marriott / Starwood zaskakujące jest to, że przez 4 lata nikt nie zauważył, że do baz danych mają dostęp również osoby niepowołane: to zaś spowodowało eskalację rozmiarów incydentu.