Компания Marriott согласилась выплатить $52M и улучшить свои методы защиты данных. Нарушения произошли еще в 2014 году, и Marriott будет выплачивать штрафы.
Объявленные урегулирования носят двойной характер. Соглашение с 49 генеральными прокурорами США и округа Колумбия обязывает гостиничного гиганта выплатить $52 миллиона в пользу этих организаций. Отдельно Федеральная торговая комиссия требует, чтобы Marriott и ее дочерняя компания Starwood внедрили "надежную программу информационной безопасности". Кроме того, компания согласилась предоставить всем клиентам возможность запросить удаление личной информации, связанной с их адресом электронной почты или номером счета постоянного клиента.
Сэмюэль Левин, директор Бюро по защите прав потребителей FTC, заявил, что неэффективная политика безопасности компании Marriott привела к многочисленным утечкам, от которых пострадали сотни миллионов потребителей.
Сегодняшние действия FTC, предпринятые в координации с нашими государственными партнерами, обеспечат Marriott улучшение практики защиты данных в отелях по всему миру.
Коннектикут был одним из инициаторов иска, поданного несколькими штатами. Уильям Тонг, генеральный прокурор штата, заявил, что компании обязаны принимать меры по защите безопасности данных потребителей. Marriott этого не сделала, что привело к взлому компьютерной сети Starwood и обнародованию личной информации миллионов ее клиентов. Это соглашение 50 штатов, возглавляемое Коннектикутом, заставляет создать систему защиты, основанную на рисках, которая защищает от постоянно развивающихся киберугроз. Мы будем продолжать тесно сотрудничать с нашими коллегами из разных штатов по всей стране, чтобы убедиться, что компании принимают все разумные меры для защиты наших персональных данных".
Marriott объявила о планах по приобретению Starwood в 2015 году, и вскоре после этого Starwood уведомила клиентов о том, что в течение 14 месяцев происходила утечка данных, в результате которой была получена информация о платежных картах более чем 40 000 клиентов.
После слияния $12,2 млрд в 2016 году Marriott отвечала за защиту данных обоих брендов. В ноябре 2018 года Marriott объявила о выявлении второго нарушения. Первая утечка началась в 2014 году, и в ней была скопирована информация 340 миллионов клиентов Starwood по всему миру. Оно было обнаружено только через четыре года после первого взлома.
По данным Федеральной торговой комиссии США (FTC), эксперты-криминалисты установили, что причиной взлома стали "злонамеренные действия", скомпрометировавшие внешний веб-сайт Starwood и установившие в сети вредоносное ПО. В отчете говорится, что злоумышленники установили "кейлоггеры, программы для сканирования памяти и трояны удаленного доступа на более чем 480 компьютеров в 58 подразделениях Starwood, включая корпоративные центры, центры обработки данных, центры по работе с клиентами и гостиничные объекты".
Плохие методы обеспечения безопасности компании Marriott привели к ряду нарушений, от которых пострадали сотни и миллионы клиентов.
В результате взлома было похищено более 5,25 миллионов незашифрованных номеров паспортов, платежных карт, адресов электронной почты, имен пользователей, дат рождения, кодов постоянных клиентов Starwood, информации о пребывании в отеле, данных о перелетах и т.д.
Marriott сообщила о третьем взломе в марте 2020 года. Хакеры использовали учетные данные сотрудников одной из франчайзинговых компаний Marriott, чтобы получить доступ к системе Marriott.
Злоумышленники начали похищать информацию в сентябре 2018 года - в том же месяце, когда была обнаружена вторая утечка, - и продолжали до декабря 2018 года, а затем возобновили в январе 2020 года, пока не были обнаружены в феврале 2020 года.
За это время они получили доступ к более чем 5,2 миллионам записей о гостях, которые содержали "значительные объемы" (по мнению FTC) личной информации.
В жалобе FTC утверждается, что Marriott не выполнила ряд действий, включая внедрение соответствующих средств контроля паролей, исправление устаревшего программного обеспечения и мониторинг сетевого окружения. В жалобе также утверждается, что Marriott не установила соответствующие брандмауэры и не применила адекватную многофакторную авторизацию.
Marriott не признает свою ответственность за обвинения. Marriott управляет и управляет более чем 7000 отелей и курортов в США, а также в более чем 130 других странах.