Dacă ați fost client al lanțului de hoteluri Mariott International în ultimii ani atunci sunteți în pericol ca datele voastre personale să fi căzut în mâinile hacker-ilor ca urmare a unui hack asupra Marriott International a avut-o de curând. Datele personale (nume, prenume, adresă, număr card de credit și chiar numere de pașaport) a peste 500 de milioane de clienți au fost extrase din sistemul de rezervări al Marriott International, aflăm dintr-un comunicat de presă al lanțului.
Vineri, Marriott International a recunoscut faptul că fost victima unui hack și că ”persoane neautorizate” au spart rețeaua de rezervări Starwood și au copiat și criptat informații cheie. Pentru că de obicei la rezervare sau cazarea într-un hotel de acest gen dăm destul de multe informații, problema Marriott pare să fie extrem de mare, mai ales că datează din 2014 și a fost descoperită abia în luna noiembrie 2018. Practic este cea mai mare problemă de securitate raportată până acum și care vizează cel mai mare număr de utilizatori afectați – mai mare decât spargerea Yahoo! sau cea Equifax.
Din câte îmi dau seama problema Starwood pare să se fi întâmplat cam în același timp cu cele care au afectat alte companii de asigurare și organizații guvernamentale din SUA. Nu se știe dacă și atacul asupra Marriott are legătură cu celelalte, dar e clar că datele extrase nu au apărut încă pe DarkWeb, ceea ce indică faptul că acestea nu au fost extrase pentru a fi vândute.
”De obicei, când datele furate nu apar pe DarkWeb, e foarte probabil să vorbim de o agenție guvernamentală care le-a extras în scopuri de colectare de date personale”, spune James A. Lewis, cybersecurity expert la Center for Strategic Studies din Washington.
Gaura de securitate afectează toți clienții care au făcut rezervări sau s-au cazat în lanțul Starwood între 2014 și 2018 – adică la hotelurile Sheraton, Westin, W Hotels, St. Regis, Four Points, Aloft, Le Méridien, Tribute, Design Hotels, Element și the Luxury Collection.
După cum am spus deja s-au extras o grămadă de date personale de la nume, adrese, numere de telefon, datele de naștere, adrese de email, detaliile criptate ale cardurilor de credit și în unele cazuri chiar și numerele de pașaport și istoricul de cazare/cheltuieli de la hoteluri.
Marriott a creat un site special și call center pentru a ajuta clienții. Iar pentru că în unele țări legislația s-ar putea să fie foarte dură și să se lase cu amenzi mari, Marriott International oferă gratuit pentru un an conturi pe Web Watcher pentru clienții din SUA, Canada și UK care au fost afectați în ideea că aceștia vor putea să fie înștiințați când și dacă datele lor personale ajung pe Internet.
“Ne pare foarte rău pentru acest incident” spune Arne Sorenson, președintele Marriott. “Nu ne-am ridicat la nivelul așteptărilor clienților și nici la cel pe care ar fi trebuit să îl avem.”
Din toată povestea asta cel mai rău este că spargerea a stat nedetectată timp de patru ani la Starwood (achiziționat de Marriott în 2016 pentru 13,6 miliarde USD” și descoperită abia în septembrie în urma unei atenționări interne că cineva a încercat să acceseze neautorizat baza de rezervări a Starwood.
Prevăd probleme financiare mari pentru Marriott dacă ne gândim că Yahoo a plătit cam 350 milioane USD după problema de securitate din 2016 iar Equifax a plătit peste 400 milioane USD ca să scape de neplăceri în urma problemei din 2017 care a afectat 148 milioane de clienți.
Deja au pornit procesele în SUA și în Europa, asta în afara inevstigației oficiale UE care va analiza modul în care a fost aplicată directiva GDPR (care presupune amenzi de până la 4% din cifra de afaceri și că problemele ar fi trebuit comunicate către cei afectați în cel mult 72 de ore de la apariția lor).
Cred dă problema Marriott va fi tratată de către UE ca un exemplu vizavi de GDPR și sunt tare curios cum se va derula.
Revenind, dacă ați fost client Starwood/Marriott în ultimii patru ani și aveți datele personale în sistemul de rezervări ați face bine să începeți să vă gândiți să vă folosiți alte adrese de email și să schimbați cardurile de credit, că aceste lucruri pot să fie controlate. Restul, adică numărul de pașaport, numele, data de naștere și adresa e cam greu.
via NYT