Marriott hat in Vergleichen zugestimmt, $52M zu zahlen und seine Datensicherheitspraktiken zu verbessern. Die Verstöße gehen auf das Jahr 2014 zurück, und Marriott wird die Geldstrafen zahlen.
Die angekündigten Vergleiche sind zweigeteilt. Eine Einigung mit 49 US-Generalstaatsanwälten und dem District of Columbia verpflichtet den Hotelgiganten zur Zahlung von $52 Millionen an diese Einrichtungen. Unabhängig davon verlangt die Federal Trade Commission, dass Marriott und seine Tochtergesellschaft Starwood ein "robustes Programm für die Informationssicherheit" einführen. Darüber hinaus hat sich das Unternehmen bereit erklärt, allen Kunden die Möglichkeit zu geben, die Löschung ihrer persönlichen Daten im Zusammenhang mit ihrer E-Mail-Adresse oder ihrer Treuekontonummer zu verlangen.
Samuel Levine, Direktor des FTC-Büros für Verbraucherschutz, sagte, dass die mangelhaften Sicherheitsrichtlinien von Marriott zu mehreren Sicherheitsverletzungen führten, die Hunderte von Millionen von Verbrauchern betrafen.
Die heutigen Maßnahmen der FTC in Zusammenarbeit mit unseren staatlichen Partnern werden dafür sorgen, dass Marriott seine Datensicherheitspraktiken in Hotels auf der ganzen Welt verbessert.
Connecticut hat die Klage aus mehreren Bundesstaaten mit angeführt. William Tong, der Generalstaatsanwalt des Bundesstaates, erklärte, dass Unternehmen verpflichtet seien, Maßnahmen zum Schutz der Verbraucherdaten zu ergreifen. Marriott hat dies versäumt, was zum Einbruch in das Starwood-Computernetzwerk und zur Preisgabe persönlicher Daten von Millionen von Kunden führte. Diese Vereinbarung der 50 Bundesstaaten, angeführt von Connecticut, erzwingt ein risikobasiertes Schutzsystem, das gegen die sich ständig weiterentwickelnden Cyber-Bedrohungen schützt. Wir werden auch weiterhin eng mit unseren Kollegen in den anderen Bundesstaaten zusammenarbeiten, um sicherzustellen, dass die Unternehmen alle angemessenen Maßnahmen zum Schutz unserer persönlichen Daten ergreifen."
Marriott kündigte 2015 Pläne zur Übernahme von Starwood an - und kurz darauf informierte Starwood seine Kunden über eine 14 Monate andauernde Datenschutzverletzung, bei der es um die Zahlungskartendaten von mehr als 40.000 Kunden ging.
Nach der $12,2 Milliarden schweren Fusion im Jahr 2016 war Marriott für die Datenschutzpraktiken beider Marken verantwortlich. Im November 2018 gab Marriott bekannt, dass es den zweiten Verstoß festgestellt hatte. Der erste Verstoß begann im Jahr 2014 und betraf das Kopieren von Informationen von 340 Millionen Starwood-Kunden weltweit. Er wurde erst vier Jahre nach dem ersten Verstoß entdeckt.
Nach Angaben der US-amerikanischen Federal Trade Commission (FTC) stellten forensische Prüfer fest, dass dieser Einbruch durch "böswillige Handlungen" verursacht wurde, die die nach außen gerichtete Website von Starwood kompromittierten und Malware in deren Netzwerk installierten. In dem Bericht heißt es, dass die Angreifer "Keylogger, Software zum Abgreifen von Speicherdaten und Trojaner für den Fernzugriff auf mehr als 480 Computern an 58 Starwood-Standorten, einschließlich der Unternehmenszentrale, der Rechenzentren, der Kundenkontaktzentren und der Hotels, installiert hatten.
Die mangelhaften Sicherheitspraktiken von Marriott führten zu einer Reihe von Sicherheitsverletzungen, von denen Hunderte und Millionen von Kunden betroffen waren.
Der Einbruch führte zum Diebstahl von mehr als 5,25 Millionen unverschlüsselten Nummern für Pässe, Zahlungskarten, E-Mail-Adressen, Benutzernamen, Geburtsdaten, Starwood-Treuecodes, Aufenthaltsinformationen, Flugdaten und mehr.
Marriott meldete den dritten Hack im März 2020. Die Hacker nutzten die Anmeldedaten von Mitarbeitern einer Marriott-Franchise-Immobilie, um sich Zugang zum System von Marriott zu verschaffen.
Die Eindringlinge begannen im September 2018 - demselben Monat, in dem die zweite Sicherheitsverletzung entdeckt wurde - mit dem Diebstahl von Daten und setzten ihn bis Dezember 2018 fort, um ihn dann im Januar 2020 fortzusetzen, bis er im Februar 2020 entdeckt wurde.
In dieser Zeit griffen sie auf über 5,2 Millionen Gästedatensätze zu, die (laut FTC) "erhebliche Mengen" an personenbezogenen Daten enthielten.
In der FTC-Beschwerde wird Marriott vorgeworfen, eine Reihe von Maßnahmen nicht ergriffen zu haben, darunter die Einführung angemessener Passwortkontrollen, die Aktualisierung veralteter Software und die Überwachung der Netzwerkumgebung. Außerdem behauptet sie, Marriott habe keine geeigneten Firewalls implementiert oder keine angemessene Multifaktor-Autorisierung angewendet.
Marriott räumt keine Haftung für die Vorwürfe ein. Marriott verwaltet und betreibt mehr als 7.000 Hotels und Resorts in den Vereinigten Staaten sowie in mehr als 130 anderen Ländern.
