Marriott International согласился выплатить 52 миллиона долларов и внедрить улучшенные меры безопасности данных для разрешения государственных и федеральных претензий, связанных с серьезными нарушениями безопасности данных, затронувшими более 300 миллионов клиентов по всему миру.
Федеральная торговая комиссия (FTC) и группа генеральных прокуроров из 49 штатов и округа Колумбия объявили о условиях отдельных соглашений с Marriott. Эти расследования сосредоточились на трех нарушениях данных, произошедших в период с 2014 по 2020 год.
В результате этих нарушений злоумышленники получили доступ к информации о паспортах, номерам платежных карт, номерам программ лояльности, датам рождения, адресам электронной почты и личной информации сотен миллионов потребителей, согласно предложенной жалобе FTC.
FTC утверждала, что Marriott и его дочерняя компания Starwood Hotels & Resorts Worldwide не смогли обеспечить безопасность своих компьютерных систем с помощью надлежащих контрольных паролей, мониторинга сети или других практик для защиты данных.
В рамках соглашения с FTC Marriott обязался внедрить надежную программу информационной безопасности и предоставить всем своим клиентам в США возможность запросить удаление любой личной информации, связанной с их адресом электронной почты или номером учетной записи лояльности.
Кроме того, Marriott разрешил аналогичные претензии, выдвинутые группой генеральных прокуроров. Помимо соглашения о повышении своих практик безопасности данных, гостиничная сеть также выплатит штраф в размере 52 миллионов долларов, который будет распределен между штатами.
В заявлении, опубликованном на своем сайте, Marriott, расположенный в Бетесде, штат Мэриленд, отметил, что не признавал своей ответственности в рамках соглашений с FTC и штатами. Компания также заявила, что уже внедрила улучшения в области конфиденциальности данных и безопасности информации.
В начале 2020 года Marriott обнаружил, что неожиданное количество информации о клиентах было получено с использованием учетных данных двух сотрудников франшизной собственности. В то время компания оценивала, что личные данные около 5,2 миллиона клиентов по всему миру могли быть затронуты.
В ноябре 2018 года Marriott объявил о массовом нарушении данных, в результате которого хакеры получили доступ к информации о почти 383 миллионах гостей. В этом случае Marriott сообщил, что были получены незашифрованные номера паспортов как минимум 5,25 миллиона клиентов, а также информация о кредитных картах 8,6 миллиона клиентов. Затронутые гостиничные бренды управлялись Starwood до ее приобретения Marriott в 2016 году.
ФБР проводило расследование этой кражи данных, и следователи подозревали, что хакеры работали по заданию китайского Министерства государственной безопасности, что примерно соответствует ЦРУ.