Hotellkjeden Marriott sitt Starwood reservasjonssystem har blitt tappet over 4 år. der hackere har stjålet 500 millioner gjestedata inkludert navn, betalingskort, passnummer og annen PII data. Nå kan selskapet forvente seg en heftig GDPR bot.
Foruten kredittkortinformasjon har hackerne også fått tilgang til data som bolig- og epostdresser, samt telefon- og passnumre til gjester som har booket opphold på hotellene fra 2014 og fram til 10. september i år.
– Dette har rammet opptil 500 millioner gjester som har gjort reservasjoner for opphold på Starwoods hoteller, opplyser kjeden.
En gransking tidligere i høst har avdekket at hackere hadde kopiert og kryptert opplysninger som rundt 327 millioner gjester oppga da de booket hotellrom, men omfanget kan vise seg å være større enn dette.
Statsadvokaten i New York har innledet etterforskning av saken, blir det opplyst fredag.
Mariott Starwood er verdens største hotellkjede og består i dag av rundt 6.500 hoteller med 1,2 millioner rom i 127 land. Sheraton, Westin, Le Meridien, St. Regis, Four Points og W Hotels er alle eid av Mariott Starwood, som har rundt 180.000 ansatte.
– Vi beklager dypt at dette har skjedd. Vi har ikke levd opp til det våre gjester fortjener og det vi forventer av oss selv, sier hotellkjedens direktør Arne Sorenson.
Verdien av Mariott-aksjen falt med 6 prosent da Wall Street åpnet fredag.
Svak sikkerhet
I en uttalelse som digi.no har mottatt fra Ilia Kolochenko, CEO sikkerhetsselskapet High-Tech Bridge, omtaler han hendelsen som ett av de større datainnbruddene relatert til usikre webapplikasjoner. Han mener at mange store selskaper har utdaterte, kunderettede appliaksjoner og dessuten unnlater å utføre kontinuerlig sikkerhetsovervåkning og inkrementell testing.
– Det prøver ulike sikkerhetsløsninger uten noen konsistent og sammenhengende strategi for applikasjonssikkerheten. En slik tilnærming vil nødvendigvis feile en dag, mener Kolochenko.
Kan få store, økonomiske konsekvenser
Han mener at de rettslike konsekvensene for Marriott og datterselskapene kan bli enorme, både ved at tilsynsmyndighetene i mange land vil kunne gi selskapene store bøter, og ved at det vil kunne komme både individuelle søksmål og massesøksmål fra berørte kunder.
Enza Iannopollo, i analyseselskapet Forrester, uttaler: "The Marriott breach has the potential to trigger the first hefty GDPR fine. The ingredients are all here: the volume of personal data exfiltrated, more than 500 million customers, the sensitivity of the data, potentially including customers' passport details, name, address, and even encryption keys, and the length of the breach which started in 2014"
Samtidig kommer antydes det at ved å kryptere data omgår angriperen selskapets sikkerhet og DLP systemer. Å ha et sikkerhetssystem som ser på adferd i stedet for å prøve å inspisere data ville ha gitt en mulighet for til å håndtere en slik trussel. SaaS Security anbefaler SECEON aiSIEM.
Les mer på SC Magazine UK