Нарушение на данните на Marriott Starwood: хотелски гигант глобен с почти £100 милиона за нарушаване на законите за поверителност
Лични данни на 339 милиона клиенти бяха откраднати от хакери
2018 г. Getty Images
Хотелският гигант Marriott International беше глобен с почти 100 милиона британски лири заради голяма кибератака, при която хакери получиха достъп до данни за кредитни карти, номера на паспорти и други лични данни, принадлежащи на общо 339 милиона гости.
Службата на комисаря по информацията на Обединеното кралство (ICO) нареди на американската хотелска група да плати 99,2 милиона британски лири за нарушаване на Общия регламент на Европейския съюз за защита на данните (GDPR), набор от строги закони, предназначени да защитават личната потребителска информация.
Смята се, че нарушението датира отпреди до пет години, но е открито едва през 2018 г. и оповестено публично през ноември, Би Би Си доклади.
Комисарят по информацията Елизабет Денъм каза, че правилата на GDPR ясно показват, че организациите трябва да носят отговорност за личните данни, които притежават.
Това може да включва извършване на надлежна проверка при извършване на корпоративно придобиване и въвеждане на подходящи мерки за отчетност за оценка не само какви лични данни са придобити, но и как са защитени, каза тя.
Marriott International възнамерява да обжалва решението.
Marriott си сътрудничи с ICO по време на разследването на инцидента, който включваше престъпна атака срещу базата данни за резервации на гости Starwood, каза шефът на компанията Арне Соренсън.
Хотелската верига не е първата голяма фирма, засегната от законите на ЕС за поверителност на данните.
Глобата на Marriott идва дни след като ICO потвърди плановете си за глоба British Airways £183 милиона за хакване, включващо лични данни на половин милион клиенти на авиокомпанията.
Какво стана?
На 30 ноември Marriott International обяви, че записите на клиентите са били компрометирани при едно от най-големите пробиви на данни в историята. Първоначалните оценки показват, че броят на засегнатите клиенти е до 500 милиона, въпреки че оттогава броят им е намалял с около 100 милиона.
Компанията разкри, че хакери са получили достъп до базата данни за резервации на гости на Starwood - конкурентна хотелска група, която Marriott придоби преди три години - още през 2014 г. Би Би Си доклади.
Marriott твърди, че е получил сигнал от инструмент за вътрешна сигурност на 8 септември, който предупреждава за опит на неупълномощена страна да получи достъп до базата данни Starwood в САЩ, се казва Пазителят .
Това откритие предизвика по-нататъшно разследване, което разкри дългосрочния неоторизиран достъп в мрежата, който оттогава беше премахнат.
Хакерът копира и защити данните с криптиране, което затруднява властите да определят съдържанието. Хотелската верига заяви, че нейните разследващи най-накрая са успели да дешифрират информацията на 19 ноември.
Кой стои зад атаката?
Месец след като атаката беше разкрита, източници, информирани за разследването, обвиниха китайското министерство на държавна сигурност, контролирана от комунистите цивилна шпионска агенция, в организиране на хакването като част от усилие за събиране на разузнавателна информация, Ню Йорк Таймс доклади.
Вестникът твърди, че шпионите са хакнали здравни застрахователи и досиетата за проверка на сигурността на още милиони американци, преди да имат достъп до личните досиета на клиентите на хотелската група, собственост на Marriott.
Частни детективи откриха хакерски инструменти, техники и процедури, използвани преди при кибератаки, свързани с китайски агенции, казаха трима вътрешни служители на компанията Ройтерс .
Въпреки това, докато Китай е главният заподозрян в случая, източници предупредиха, че е възможно някой друг да стои зад хакването, тъй като други страни са имали достъп до същите инструменти за хакване, съобщава новинарският сайт.
Засегнати ли сте?
Като се има предвид огромното количество хакнати данни за клиентите, има голяма вероятност всеки, който е отсядал в хотел Starwood през последните години, да бъде засегнат от пробива.
Имотите на Starwood в Обединеното кралство включват Sheraton Grand Park Lane и Le Meridien Piccadilly в Лондон и Sheraton Grand в Единбург, Пазителят доклади.
Групата Marriott изброява категориите данни, изложени в изтичането, като:
- имена
- Пощенски адрес
- Телефонен номер
- Имейл адрес
- Номер на паспорт
- Информация за акаунта на Starwood Preferred Guest
- Дата на раждане
- Пол
- Информация за пристигане и заминаване
- Дата на резервация
- Предпочитания за комуникация
Комбинация от клиентски данни е изтекла в повечето случаи, според компанията.
Откраднати са и данните за кредитната карта на неуточнен брой хора, добавяBusiness Insider. Marriott казва, че тези файлове са били защитени с криптиране, но че е възможно хакерите също да са взели информацията, необходима, за да ги декриптират.