Właściciel międzynarodowej sieci luksusowych hoteli – Marriott International Inc. – poinformował pod koniec marca na swojej stronie internetowej o ogromnym wycieku danych osobowych. Sprawa jest poważna. Wyciek dotyczy bowiem informacji dotyczących kilku milionów gości hotelowego giganta. To kolejne poważne naruszenie spółki związane z nieodpowiednim zabezpieczeniem danych osobowych.
Nieuprawniony dostęp do aplikacji
Amerykańska spółka poinformowała, że wyciek danych osobowych związany jest
z funkcjonowaniem aplikacji lojalnościowej (Marriott Bonvoy). Aplikacja ta – w założeniu – ma pomagać świadczyć usługi na rzecz gości hoteli działających pod marką Marriott. Gigant wskazał w swoim oświadczeniu, że pod koniec lutego br. uzyskał informację, że za pośrednictwem tej aplikacji ktoś zalogował się do systemu, uzyskując tym samym dostęp do licznych informacji o gościach. Osoba ta lub osoby miały posłużyć się w tym celu loginem i hasłem dwóch pracowników jednego z hoteli (działającego w formie franczyzy).
Z oświadczenia spółki wynika, że do wycieku danych doszło prawdopodobnie w połowie stycznia. Nie wiadomo jednak czemu sieć hotelarska dopiero teraz informuje o tym poważnym naruszeniu.
W wyniku nieuprawnionego dostępu aplikacji, wyciekły dane osobowe ponad 5 milionów gości hoteli popularnej marki. Zakres danych, które dostały się w niepowołane ręce jest szeroki. Obejmuje on imiona i nazwiska gości, ich adresy zamieszkania, adresy poczty elektronicznej, numery telefonów, informacje o kontach lojalnościowych, płeć, daty urodzenia, preferencje dotyczące pokoju oraz języka obsługi, jak również informacje o korzystaniu z innych programów lojalnościowych (np. linii lotniczych).
Spółka podkreśliła, że w wyniku tego incydentu nie doszło do wycieku danych dotyczących kart płatniczych, paszportów, dowodów osobistych czy też dokumentów prawa jazdy gości hotelowych. Bezpieczne miały pozostać także hasła i kody PIN służące do zalogowania się do felernej aplikacji.
Działania naprawcze
Spółka zapewniła, że niezwłocznie po stwierdzeniu naruszenia bezpieczeństwa danych osobowych swoich gości, wdrożyła specjalną procedurę służącą wyjaśnieniu jego przyczyn, jak również zwiększyła wewnętrzne działania kontrolne. Powiadomiła ona właściwe organy ochrony danych osobowych o zaistniałym zdarzeniu oraz zapewniła, że będzie w pełni współpracować z nimi w toku prowadzonych postępowań.
W dniu opublikowania informacji o wycieku spółka wysłała wiadomości e-maile do wszystkich osób, których prawa mogły zostać naruszone w związku z zaistniałym incydentem. Jednocześnie uruchomiła specjalną stronę internetową (www.mysupport.marriott.com), na której można znaleźć pomocne informacje dla osób poszkodowanych, w tym instrukcje postępowania. Gigant uruchomił także dla tych osób specjalną usługę monitorowania danych osobowych.
Kolejne naruszenie
To już drugie w ostatnim czasie tak poważne naruszenie związane z niedostatecznym zabezpieczeniem baz danych spółki. W listopadzie 2019 roku sieć Marriott poinformowała, że hakerzy uzyskali dostęp do systemu rezerwacji Starwood Hotels, z którego pozyskali dane osobowe ponad 383 milionów gości hotelowego giganta (początkowo mówiło się o nawet 500 milionach osób). W wyniku tego naruszenia brytyjski organ nadzorczy – The Information Commissioner’s Office (ICO) – planował nałożenie na spółkę kary w wysokości nawet 99 milionów funtów (o tym naruszeniu pisaliśmy szerzej TUTAJ – (https://gdpr.pl/brytyjski-organ-zamierza-nalozyc-pol-miliarda-zlotych-kary-na-marriott-international). Jesteśmy ciekawi jak kolejne – również bardzo poważne – naruszenie przez spółkę przepisów o ochronie danych osobowych wpłynie na ocenę tego zdarzenia przez właściwe organy nadzorcze. Wydaje się, że powinno ono mieć duży wpływ na wysokość ewentualnej kary finansowej.
Źródło:
https://www.zdnet.com/article/marriott-discloses-new-data-breach-impacting-5-2-million-hotel-guests/
Informacja o incydencie:
Pomoc dla poszkodowanych:
https://mysupport.marriott.com/