Η Marriott International και η θυγατρική της Starwood Hotels θα πληρώσουν 52 εκατομμύρια δολάρια και θα δημιουργήσουν ένα ολοκληρωμένο πρόγραμμα ασφάλειας πληροφοριών ως μέρος των διακανονισμών για παραβιάσεις δεδομένων που επηρέασαν περισσότερους από 344 εκατομμύρια πελάτες.
Ο διακανονισμός απαιτεί από τη Marriott και τη Starwood να εφαρμόσουν ένα ολοκληρωμένο πρόγραμμα ασφάλειας και να επιτρέψουν στους πελάτες τους στις ΗΠΑ να ζητήσουν διαγραφές προσωπικών δεδομένων.
Επιπλέον, ο αμερικανικός κολοσσός φιλοξενίας συμφώνησε να πληρώσει 52.000.000 δολάρια σε 49 πολιτείες για την επίλυση αξιώσεων που σχετίζονται με παραβιάσεις δεδομένων.
Πολλές παραβιάσεις δεδομένων της Marriot
Η Marriott International είναι μια εταιρεία φιλοξενίας που διαχειρίζεται και παραχωρεί δικαιόχρηση σε ένα τεράστιο χαρτοφυλάκιο ξενοδοχείων και καταλυμάτων, λειτουργώντας περισσότερα από 7.000 ακίνητα σε 130 χώρες.
Η Starwood ήταν μια αμερικανική εταιρεία ξενοδοχείων και αναψυχής μέχρι την εξαγορά της από τη Marriott το 2016, καθιστώντας την τελευταία υπεύθυνη για την ασφάλεια δεδομένων και τις σχετικές ξενοδοχειακές λειτουργίες.
της FTC ανακοίνωση επισημαίνει τρεις περιπτώσεις όπου η Marriott απέτυχε να διαφυλάξει τις πληροφορίες των πελατών της.
Τον Ιούνιο του 2014, η Starwood υπέστη παραβίαση δεδομένων όπου αποκαλύφθηκαν τα στοιχεία της κάρτας πληρωμής πολλών από τους πελάτες της. Η παραβίαση ανακαλύφθηκε και αποκαλύφθηκε δημόσια 14 μήνες αργότερα, αφήνοντας τους επηρεαζόμενους πελάτες εκτεθειμένους σε αυξημένους κινδύνους για περισσότερο από ένα χρόνο.
Το δεύτερο περιστατικό αφορά χάκερ που έχουν πρόσβαση σε 339 εκατομμύρια αρχεία λογαριασμών επισκεπτών Starwood, συμπεριλαμβανομένων 5,25 εκατομμυρίων μη κρυπτογραφημένων αριθμών διαβατηρίων. Αυτή η παραβίαση σημειώθηκε τον Ιούλιο του 2014, αλλά εντοπίστηκε τον Σεπτέμβριο του 2018, αφήνοντας και πάλι εκτεθειμένους τους πελάτες για μια πολυετή περίοδο.
Η τρίτη παραβίαση επηρέασε την ίδια τη Marriott, όπου κακόβουλοι παράγοντες είχαν πρόσβαση στα αρχεία 5,2 εκατομμυρίων επισκεπτών τον Σεπτέμβριο του 2018. Τα εκτεθειμένα δεδομένα περιελάμβαναν ονόματα, διευθύνσεις email, ταχυδρομικές διευθύνσεις, αριθμούς τηλεφώνου, ημερομηνίες γέννησης και πληροφορίες λογαριασμού αφοσίωσης.
Και σε αυτή την περίπτωση, η Marriott χρειάστηκε μέχρι τον Φεβρουάριο του 2020 για να ανακαλύψει τον συμβιβασμό και να ενημερώσει τους πελάτες της ανάλογα.
Ο οικισμός
Η FTC κατηγορεί τις δύο εταιρείες για παραπλάνηση των καταναλωτών σχετικά με τις πρακτικές ασφάλειας των δεδομένων τους και για αποτυχίες όπως ανεπαρκείς ελέγχους κωδικών πρόσβασης, απαρχαιωμένο λογισμικό και έλλειψη κατάλληλης παρακολούθησης του περιβάλλοντος πληροφορικής της.
Ως μέρος της συμφωνίας διακανονισμού, η Marriott και η θυγατρική της Starwood θα πρέπει τώρα να εφαρμόσουν τα ακόλουθα μέτρα:
- Καθιερώστε ένα ολοκληρωμένο πρόγραμμα ασφάλειας πληροφοριών με αξιολογήσεις τρίτων κάθε δύο χρόνια και ετήσια πιστοποίηση συμμόρφωσης για 20 χρόνια.
- Περιορίστε τη διατήρηση δεδομένων σε ό,τι είναι απαραίτητο και ενημερώστε τους πελάτες για τους λόγους συλλογής και διατήρησης των δεδομένων τους.
- Επιτρέψτε στους πελάτες να ζητούν ελέγχους μη εξουσιοδοτημένης δραστηριότητας στους λογαριασμούς αφοσίωσης και να επαναφέρουν κλεμμένους πόντους.
- Παρέχετε έναν τρόπο στους πελάτες να ζητούν τη διαγραφή των προσωπικών στοιχείων που συνδέονται με το email ή τον λογαριασμό αφοσίωσης τους.
- Να απαγορεύεται η παραπλανητική περιγραφή του τρόπου χειρισμού των προσωπικών δεδομένων και να διασφαλίζεται η διαφάνεια στις πρακτικές ασφαλείας.
Η Marriott έχει επίσης καταλήξει σε ξεχωριστό διακανονισμό που ανακοινώθηκε ταυτόχρονα με 49 πολιτείες και την Περιφέρεια της Κολούμπια, συμφωνώντας να πληρώσει 52.000.000 $ για την επίλυση ισχυρισμών και αξιώσεων που σχετίζονται με τα παραπάνω περιστατικά ασφαλείας.
VIA: bleepingcomputer.com
