وافقت شركة ماريوت في تسويات على دفع $52M وتحسين ممارسات أمن البيانات الخاصة بها. تعود الانتهاكات إلى عام 2014، وستقوم ماريوت بدفع الغرامات.
التسويات التي تم الإعلان عنها ذات شقين. قرار مع 49 من المدعين العامين في الولايات المتحدة ومقاطعة كولومبيا، يقضي بأن تدفع شركة الضيافة العملاقة $52 مليون دولار لهذه الكيانات. وبشكل منفصل، تطلب لجنة التجارة الفيدرالية من ماريوت وشركة ستاروود التابعة لها تنفيذ "برنامج قوي لأمن المعلومات". بالإضافة إلى ذلك، وافقت الشركة على أنها ستوفر طريقة لجميع العملاء لطلب حذف المعلومات الشخصية المتعلقة بعنوان بريدهم الإلكتروني أو رقم حساب الولاء.
قال صامويل ليفين، مدير مكتب حماية المستهلك في لجنة التجارة الفيدرالية، إن سياسات ماريوت الأمنية الضعيفة أدت إلى العديد من الاختراقات التي أثرت على مئات الملايين من المستهلكين.
ستضمن الإجراءات التي اتخذتها لجنة التجارة الفيدرالية اليوم، بالتنسيق مع شركائنا في الولاية وبالتعاون مع شركائنا في الولاية أن تقوم ماريوت بتحسين ممارسات أمن البيانات في الفنادق حول العالم.
كانت ولاية كونيتيكت هي الرائدة المشاركة في الدعوى القضائية متعددة الولايات. وقال ويليام تونغ، المدعي العام فيها، إن الشركات مُلزمة باتخاذ تدابير لحماية أمن بيانات المستهلكين. وقد أخفقت ماريوت في القيام بذلك، مما أدى إلى اختراق شبكة كمبيوتر ستاروود وانكشاف المعلومات الشخصية لملايين من عملائها. تفرض هذه الاتفاقية التي تضم 50 ولاية، بقيادة ولاية كونيتيكت، نظام حماية قائم على المخاطر يحمي من التهديدات الإلكترونية المتطورة باستمرار. سنواصل العمل عن كثب مع زملائنا في الولايات المتعددة في جميع أنحاء البلاد لضمان اتخاذ الشركات جميع التدابير المعقولة لحماية بياناتنا الشخصية."
أعلنت ماريوت عن خططها للاستحواذ على ستاروود في عام 2015 - وبعد فترة وجيزة من إخطار ستاروود لعملائها بأنها تعرضت لخرق بيانات استمر 14 شهراً شمل معلومات بطاقات الدفع لأكثر من 40,000 عميل.
بعد عملية الاندماج التي بلغت قيمتها $12.2 مليار دولار أمريكي في عام 2016، كانت ماريوت مسؤولة عن ممارسات حماية البيانات لكلا العلامتين التجاريتين. في نوفمبر 2018، أعلنت ماريوت أنها اكتشفت الخرق الثاني. بدأ الاختراق الأول في عام 2014، وشمل نسخ معلومات 340 مليون عميل من عملاء ستاروود في جميع أنحاء العالم. ولم يتم اكتشافه إلا بعد أربع سنوات من الاختراق الأول.
ووفقًا للجنة التجارة الفيدرالية الأمريكية (FTC)، قرر فاحصو الطب الشرعي أن هذا الاختراق نتج عن "أعمال خبيثة" اخترقت موقع ستاروود الإلكتروني الخارجي وتثبيت برمجيات خبيثة على شبكتهم. وذكر التقرير أن المخترقين قاموا بتثبيت "برامج تسجيل المفاتيح، وبرامج تجسس على الذاكرة، وأحصنة طروادة للوصول عن بُعد على أكثر من 480 جهاز كمبيوتر في 58 موقعًا من مواقع ستاروود، بما في ذلك الشركات ومراكز البيانات ومراكز الاتصال بالعملاء والفنادق.
أدت ممارسات السلامة السيئة لدى ماريوت إلى عدد من الانتهاكات التي أثرت على مئات وملايين العملاء.
نتج عن الاختراق سرقة أكثر من 5.25 مليون رقم غير مشفر لجوازات السفر، وبطاقات الدفع، وعناوين البريد الإلكتروني، وأسماء المستخدمين، وتواريخ الميلاد، ورموز الولاء لستاروود، ومعلومات الإقامة، وتفاصيل رحلات الطيران، وغيرها.
أبلغت ماريوت عن الاختراق الثالث في مارس 2020. استخدم المخترقون بيانات اعتماد تسجيل الدخول للموظفين في إحدى منشآت امتياز ماريوت للدخول إلى نظام ماريوت.
بدأ المتسللون بسرقة المعلومات في سبتمبر 2018 - وهو نفس الشهر الذي اكتُشف فيه الاختراق الثاني - واستمروا حتى ديسمبر 2018، ثم استأنفوا في يناير 2020 حتى تم اكتشافهم في فبراير 2020.
خلال هذه الفترة، تمكنوا من الوصول إلى أكثر من 5.2 مليون سجل للضيوف تحتوي على "كميات كبيرة" (وفقًا للجنة التجارة الفيدرالية) من المعلومات الشخصية.
تزعم شكوى لجنة التجارة الفيدرالية أن ماريوت فشلت في القيام بعدد من الأمور، بما في ذلك تطبيق ضوابط كلمة المرور المناسبة، وتصحيح البرامج القديمة ومراقبة بيئات الشبكة. كما تدّعي أيضاً أن ماريوت لم تطبق جدران حماية مناسبة أو تطبق تفويضاً كافياً متعدد العوامل.
لا تعترف ماريوت بمسؤوليتها عن هذه الادعاءات. تدير ماريوت وتدير أكثر من 7,000 فندق ومنتجع في الولايات المتحدة، وكذلك في أكثر من 130 دولة أخرى.
