Reportrip - Información turística líder en Latam

Marriott ha acordado pagar 52 millones de dólares y fortalecer sus prácticas de seguridad de datos en acuerdos relacionados con tres violaciones de datos que se remontan a 2014.

Los acuerdos anunciados hoy son dos veces: una resolución con 49 EE. UU. Los Fiscales Generales de los Estados y el Distrito de Columbia requieren que el gigante hotelero pague 52 millones de dólares a esas entidades. Por separado, la Comisión Federal de Comercio requerirá que Marriott y su filial Starwood implementen un "programa de seguridad de la información". Además, la compañía ha acordado proporcionar a todos los clientes en los Estados Unidos una forma de solicitar la eliminación de la información personal asociada a su dirección de correo electrónico o número de cuenta de recompensas de lealtad.

"Las malas prácticas de seguridad de Marriott llevaron a múltiples brechas que afectaron a cientos de millones de clientes", dijo Samuel Levine, director de la Oficina de Protección al Consumidor de la FTC.

"La acción de hoy de la FTC, en coordinación con nuestros socios estatales, garantizará que Marriott mejore sus prácticas de seguridad de datos en hoteles de todo el mundo".

Connecticut co-lideró el caso multiestatal. Su fiscal general, William Tong, dijo: "Las empresas tienen la obligación de tomar medidas razonables para proteger la seguridad de los datos de los consumidores. Marriott claramente no lo lo realtó, lo que resultó en la violación de la red informática de Starwood y en la exposición de información personal para millones de sus huéspedes. Este acuerdo de 50 estados, codirigido por Connecticut, fuerza un sólido sistema de protecciones basadas en el riesgo para protegerse contra amenazas en constante evolución a la ciberseguridad. Seguiremos trabajando en estrecha colaboración con nuestros socios multiestatales en todo el país para garantizar que las empresas tomen todas las precauciones razonables para proteger nuestra información personal".

Marriott anunció planes para adquirir Starwood en 2015, y poco después de que Starwood notificara a los clientes que había experimentado una violación de datos de 14 meses de duración que involucraba la información de la tarjeta de pago para más de 40.000 clientes.

Una vez que la fusión de 12.200 millones de dólares se realizó en 2016, Marriott se hizo responsable de las prácticas de seguridad de datos de ambas marcas. Dos años después, en noviembre de 2018, Marriott reveló que había identificado lo que ahora se denomina la segunda violación, que había comenzado en 2014 e implicaba la copia de información de alrededor de 340 millones de huéspedes de Starwood en todo el mundo hasta que se descubrió cuatro años después.

Según la Comisión Federal de Comercio de los Estados Unidos, los examinadores forenses determinaron que esta violación se debió a que "actores maliciosos" comprometieron el servidor web externo de Starwood e instalaron malware en su red. Dijo que los presentadores instalaron "registradores de claves, malware de raspado de memoria y troyanos de acceso remoto" en más de 480 sistemas en 58 ubicaciones dentro del sistema de Starwood, incluidas las ubicaciones corporativas, del centro de datos, el centro de contacto con el cliente y las propiedades hoteleras.

La información personal robada durante esta violación incluía más de 5,25 millones de números de pasaporte sin cifrar, números de tarjetas de pago, direcciones de correo electrónico, nombres de usuario y fechas de nacimiento, así como números de lealtad de Starwood, información de estadía, información de vuelos y más.

Marriott reported the third breach in March 2020, when it said hackers used login credentials of employees at a franchise property to gain access to Marriott’s network.

Los intrusos comenzaron a robar información en septiembre de 2018, el mismo mes en que se descubrió la segunda violación, y continuaron hasta diciembre de 2018, luego se reanudaron en enero de 2020 hasta que fueron descubiertos en febrero de 2020.

Durante ese tiempo accedieron a más de 5,2 millones de registros de invitados que la FTC dijo que contenían "cantidades significativas" de información personal.

La denuncia de la FTC alega que Marriott no hizo varias cosas, incluida la implementación de un control de contraseña apropiado, la aplicación de parches de software obsoleto, la supervisión de entornos de red, la implementación de cortafuegos apropiados y la aplicación de una autenticación multifactorial adecuada.

Los acuerdos con la FTC y los fiscales generales indican que Marriott no admite ninguna responsabilidad con respecto a las acusaciones subyacentes. Marriott administra y franquicia más de 7.000 propiedades en todo Estados Unidos y en más de 130 países.

Fuente: Phocuswire