Marriott International ha acordado pagar 52 millones de dólares e implementar medidas de seguridad de datos mejoradas para resolver reclamaciones estatales y federales relacionadas con violaciones de datos significativas que afectan a más de 300 millones de clientes en todo el mundo.
La Comisión Federal de Comercio (FTC) y un grupo de fiscales generales de 49 estados y el Distrito de Columbia anunciaron los términos de acuerdos separados con Marriott. Estas investigaciones se centraron en tres violaciones de datos que ocurrieron entre 2014 y 2020.
Como resultado de estas violaciones, actores maliciosos accedieron a información de pasaporte, números de tarjetas de pago, números de programas de lealtad, fechas de nacimiento, direcciones de correo electrónico e información personal de cientos de millones de consumidores, según la queja propuesta por la FTC.
La FTC alegó que Marriott y su filial, Starwood Hotels & Resorts Worldwide, no lograron asegurar sus sistemas informáticos con controles de contraseña apropiados, monitoreo de red u otras prácticas para proteger los datos.
Como parte del acuerdo con la FTC, Marriott se comprometió a implementar un sólido programa de seguridad de la información y proporcionará a todos sus clientes estadounidenses un medio para solicitar la eliminación de cualquier información personal vinculada a su dirección de correo electrónico o número de cuenta de lealtad.
Además, Marriott ha resuelto reclamaciones similares presentadas por el grupo de fiscales generales. Además de acordar fortalecer sus prácticas de seguridad de datos, el operador hotelero pagará una penalización de 52 millones de dólares que se distribuirá entre los estados.
En una declaración publicada en su sitio web, Marriott, con sede en Bethesda, Maryland, señaló que no ha admitido responsabilidad en sus acuerdos con la FTC y los estados. La empresa también declaró que ya ha implementado mejoras en la privacidad de datos y la seguridad de la información.
A principios de 2020, Marriott descubrió que una cantidad inesperada de información de clientes había sido accedida utilizando las credenciales de inicio de sesión de dos empleados de una propiedad franquiciada. En ese momento, la empresa estimó que los datos personales de alrededor de 5,2 millones de clientes en todo el mundo podrían haberse visto afectados.
En noviembre de 2018, Marriott anunció una violación masiva de datos en la que los piratas informáticos accedieron a información de casi 383 millones de huéspedes. En este caso, Marriott informó que los números de pasaporte no cifrados de al menos 5.25 millones de clientes habían sido accedidos, así como la información de tarjetas de crédito de 8.6 millones de clientes. Las marcas hoteleras afectadas eran operadas por Starwood antes de su adquisición por Marriott en 2016.
El FBI llevó a cabo la investigación sobre este robo de datos, y los investigadores sospechaban que los hackers trabajaban para el Ministerio de Seguridad del Estado de China, equivalente aproximado a la CIA.