Marriott International hat zugestimmt, 52 Millionen Dollar zu zahlen und die Datensicherheitsmaßnahmen zu verbessern, um staatliche und bundesstaatliche Ansprüche im Zusammenhang mit erheblichen Datenverletzungen zu lösen, die über 300 Millionen Kunden weltweit betreffen.
Die Federal Trade Commission (FTC) und eine Gruppe von Generalstaatsanwälten aus 49 Bundesstaaten und dem District of Columbia haben die Bedingungen separater Vergleiche mit Marriott bekannt gegeben. Diese Ermittlungen konzentrierten sich auf drei Datenverletzungen, die zwischen 2014 und 2020 auftraten.
Als Folge dieser Verletzungen haben böswillige Akteure auf Passinformationen, Zahlungsnummern, Loyalitätsprogrammnummen, Geburtsdaten, E-Mail-Adressen und persönliche Informationen von Hunderten von Millionen Verbrauchern zugegriffen, wie aus der vorgeschlagenen Beschwerde der FTC hervorgeht.
Die FTC behauptete, dass Marriott und seine Tochtergesellschaft, Starwood Hotels & Resorts Worldwide, versäumt hätten, ihre Computersysteme mit angemessenen Passwortkontrollen, Netzwerküberwachung oder anderen Praktiken zum Schutz von Daten abzusichern.
Im Rahmen des Vergleichs mit der FTC hat sich Marriott verpflichtet, ein robustes Informationssicherheitsprogramm umzusetzen und allen US-Kunden ein Mittel anzubieten, um die Löschung aller persönlichen Informationen, die mit ihrer E-Mail-Adresse oder ihrer Loyalitätskontonummer verknüpft sind, zu beantragen.
Darüber hinaus hat Marriott ähnliche Ansprüche, die von der Gruppe der Generalstaatsanwälte erhoben wurden, geregelt. Neben der Vereinbarung, seine Datensicherheitspraktiken zu stärken, wird der Hotelbetreiber auch eine Strafe von 52 Millionen Dollar zahlen, die unter den Bundesstaaten aufgeteilt wird.
In einer auf seiner Website veröffentlichten Erklärung stellte Marriott, mit Sitz in Bethesda, Maryland, fest, dass es im Rahmen seiner Vereinbarungen mit der FTC und den Bundesstaaten keine Verantwortung anerkannt hat. Das Unternehmen erklärte auch, dass es bereits Verbesserungen im Bereich Datenschutz und Informationssicherheit umgesetzt hat.
Anfang 2020 stellte Marriott fest, dass eine unerwartete Menge an Kundeninformationen mit den Anmeldeinformationen von zwei Mitarbeitern einer franchisierten Einrichtung abgerufen worden war. Zu diesem Zeitpunkt schätzte das Unternehmen, dass die persönlichen Daten von etwa 5,2 Millionen Kunden weltweit betroffen sein könnten.
Im November 2018 gab Marriott einen massiven Datenverstoß bekannt, bei dem Hacker auf Informationen von fast 383 Millionen Gästen zugriffen. In diesem Fall berichtete Marriott, dass die unverschlüsselten Passnummern von mindestens 5,25 Millionen Kunden abgerufen wurden, ebenso wie die Kreditkarteninformationen von 8,6 Millionen Kunden. Die betroffenen Hotelmarken wurden von Starwood betrieben, bevor sie 2016 von Marriott übernommen wurden.
Das FBI führte die Ermittlungen zu diesem Datenraub durch, wobei die Ermittler vermuteten, dass die Hacker im Auftrag des chinesischen Ministeriums für Staatssicherheit, dem ungefähren Pendant zur CIA, arbeiteten.