Marriott International a accepté de payer 52 millions de dollars et de mettre en œuvre des mesures de sécurité des données renforcées pour résoudre des réclamations étatiques et fédérales liées à des violations de données significatives affectant plus de 300 millions de clients dans le monde.
La Federal Trade Commission (FTC) et un groupe d'avocats généraux de 49 États et du District de Columbia ont annoncé les termes de règlements séparés avec Marriott. Ces enquêtes ont porté sur trois violations de données survenues entre 2014 et 2020.
À la suite de ces violations, des acteurs malveillants ont accédé à des informations sur les passeports, les numéros de cartes de paiement, les numéros de programmes de fidélité, les dates de naissance, les adresses e-mail et les informations personnelles de centaines de millions de consommateurs, selon la plainte proposée par la FTC.
La FTC a allégué que Marriott et sa filiale, Starwood Hotels & Resorts Worldwide, n'avaient pas réussi à sécuriser leurs systèmes informatiques avec des contrôles de mots de passe appropriés, une surveillance du réseau ou d'autres pratiques pour protéger les données.
Dans le cadre de l'accord avec la FTC, Marriott s'est engagé à mettre en œuvre un programme solide de sécurité des informations et à fournir à tous ses clients américains un moyen de demander la suppression de toute information personnelle liée à leur adresse e-mail ou à leur numéro de compte de fidélité.
De plus, Marriott a réglé des réclamations similaires déposées par le groupe des avocats généraux. En plus de renforcer ses pratiques de sécurité des données, l'exploitant hôtelier paiera une pénalité de 52 millions de dollars qui sera répartie entre les États.
Dans une déclaration publiée sur son site Internet, Marriott, basé à Bethesda, dans le Maryland, a noté qu'il n'avait fait aucune reconnaissance de responsabilité dans le cadre de ses accords avec la FTC et les États. L'entreprise a également déclaré avoir déjà mis en œuvre des améliorations en matière de confidentialité des données et de sécurité des informations.
Début 2020, Marriott a découvert qu'une quantité inattendue d'informations sur les clients avait été consultée à l'aide des identifiants de connexion de deux employés d'une propriété franchisée. À ce moment-là, l'entreprise estimait que les données personnelles d'environ 5,2 millions de clients dans le monde pourraient avoir été affectées.
En novembre 2018, Marriott a annoncé une violation massive des données dans laquelle des pirates avaient accédé à des informations sur près de 383 millions d'invités. Dans ce cas, Marriott a rapporté que les numéros de passeport non cryptés d'au moins 5,25 millions de clients avaient été consultés, ainsi que les informations de carte de crédit de 8,6 millions de clients. Les marques hôtelières concernées étaient exploitées par Starwood avant son acquisition par Marriott en 2016.
Le FBI a mené l'enquête sur ce vol de données, avec des enquêteurs soupçonnant que les pirates informatiques agissaient pour le compte du ministère chinois de la Sécurité d'État, équivalent approximatif de la CIA.