Sieć hoteli Marriott International została drugim co do wielkości pechowcem w historii pod względem utraconych rekordów z bazy danych zawierającej szczegółowe informacje o klientach. W specjalnym artykule firma oświadczyła, że do wycieku doszło z bazy systemu rezerwacji Starwood (Marriott w 2016 roku kupił to amerykańskie konsorcjum hotelarskie) i jeżeli ktokolwiek może się obawiać o własne poufne dane, to tylko klienci sieci Starwood, których informacje dostały się w przestępcze ręce, ale jeżeli korzystali z systemu rezerwacji przed 8 września 2018 roku.
Ze śledztwa wynika, że nieautoryzowany dostęp do sieci Starwood uzyskano już w 2014 roku, ale dopiero niedawno ujawniono próby skopiowania danych. Na początku listopada 2018 roku ktoś próbował przejąć dane i rzeczywiście udało się to hackerom. Zdołali oni wykraść i zaszyfrować dane, ale 19 listopada zatrudnieni eksperci ds. bezpieczeństwa zdołali odszyfrować informacje i ustalili, że faktycznie dane pochodzą z systemu rezerwacji Starwood.
Tak czy inaczej, w wyniku incydentu zagrożonych ujawnieniem szczegółowych informacji jest około 327 milionów ludzi, którzy korzystali z rezerwacji w systemie Starwood przed 8 września 2018 roku. Na 327 milionów poszkodowanych osób składa się 500 milionów rekordów, które obejmują:
- Imię i nazwisko
- Adres pocztowy
- Numer telefonu
- Adres e-mail
- Informacje o przylotach i odlotach
- Daty rezerwacji
- Preferencje dotyczące komunikacji
- Nie wiadomo dokładnie ile, ale w niektórych przypadkach wyciek obejmował numery kart płatniczych oraz daty ich wygaśnięcia. Rekordy te były przechowywane w postaci szyfrowanej przez algorytm AES-128.
Istnieją dwa potrzebne elementy do odszyfrowania numerów kart płatniczych i w tej chwili Marriott nie może wykluczyć, że oba dostały się w ręce przestępców.
– czytamy w ostrzeżeniu.
Czyje dane mogły wyciec?
Klientów sieci rezerwacji Starwood, a więc:
- Westin
- Sheraton
- The Luxury Collection
- Four Points by Sheraton
- W Hotels
- St. Regis
- Le Méridien
- Aloft
- Element
- Tribute Portfolio
- Design Hotels
Hotele Marriott korzystają z własnego systemu rezerwacji. Dane ich klientów są bezpieczne — tak twierdzi Marriott International.
Marriott: drugi największy w historii wyciek danych
Firma stworzyła specjalną stronę internetową https://answers.kroll.com/ oraz FAQ, w którym podane są najważniejsze informacje. Klienci Marriotta mogą zadzwonić lub udać się do najbliższego punktu informacyjnego po dokładne szczegóły. Obywatele zamieszkujący państwa w Europie mogą kierować swoje pytania do odpowiedników naszego polskiego UODO (Urzędu Ochrony Danych Osobowych). W Polsce Urząd Ochrony Danych Osobowych znajduje się przy ul. Stawki 2 w Warszawie. Do kontaktu dostępny jest stacjonarny numer telefonu +48 22 531 03 00 oraz e-mail: [email protected]
Poszkodowani mogą liczyć na darmową roczną subskrypcję na oprogramowanie WebWatcher monitorujące Internet pod kątem wykorzystania danych.
Bardzo żałujemy, że doszło do tego incydentu. Nie sprostaliśmy własnym oczekiwaniom i zawiedliśmy naszych gości. Robimy wszystko, co w naszej mocy, aby wykorzystując zdobyte doświadczenia wesprzeć swoich klientów.
– powiedział Arne Sorenson, prezes i dyrektor generalny Marriotta.
Największe wycieki danych w historii Internetu
Firma Quartz zestawiła 20 największych wycieków danych w historii. Incydent związany z hotelami Marriott zajmuje niechlubne drugie miejsce.
| Firma | Ilość utraconych danych | Data zhackowania |
|---|---|---|
| Yahoo | 3 miliardy | Sierpień 2013 |
| Marriott | 500 milionów | 2014-2018 |
| Yahoo | 500 milionów | 2014 |
| Adult FriendFinder | 412 milionów | Październik 2016 |
| MySpace | 360 milionów | Maj 2016 |
| Under Armor | 150 milionów | Luty 2018 |
| Equifax | 145.5 milionów | Lipiec 2017 |
| eBay | 145 milionów | Maj 2014 |
| Target | 110 milionów | Listopad 2013 |
|
Heartland Payment Systems |
100 milionów | Maj 2008 |
| 100 milionów | Czerwiec 2012 | |
| Ramlber.ru | 98 milionów | Luty 2012 |
| TJX | 94 miliony | 2003-2004 |
| AOL | 92 miliony | 2004 |
| MyHeritage | 92 miliony | Październik 2017 |
| Sony PlayStation Network | 77 milionów | Kwiecień 2011 |
| JP Morgan | 83 miliony | Lipiec 2014 |
| Tumblr | 65 milionów | Luty 2013 |
| Uber | 57 milionów | 2016 |
| 50 milionów | Lipiec 2017 |
Jak sprawdzić wyciek swoich danych i co należy zrobić?
Wyciek własnego adresu e-mail oraz hasła z powyższych serwisów można sprawdzić na stronie: https://haveibeenpwned.com. Dodatkowo:
1. Marriott utworzył dedykowane centrum telefoniczne, aby odpowiedzieć na pytania dotyczące tego incydentu. Centrum telefoniczne jest otwarte siedem dni w tygodniu i jest dostępne w wielu językach. Numery telefonów zostały podane na tej stronie: https://answers.kroll.com Rozmowa w języku polskim nie jest obsługiwana.
2. Goście, którzy korzystali z rezerwacji Starwood, powinni otrzymać wiadomość e-mail z informacją o wycieku.
3. Osoby poszkodowane w wyniku cyberataku mogą zgłosić wyciek danych do urzędu UODO w Polsce lub jego odpowiednika w Europie. Na stronie internetowej przygotowanej przez Marriott znajdują się informacje kontaktowe do urzędów ochrony danych w każdym europejskim państwie.
4. Klienci programu lojalnościowego „Starwood Preferred Guest” powinni natychmiast zmienić hasło dostępowe do systemu, przejrzeć konta bankowe i karty płatnicze pod kątem podejrzanej aktywności. W przypadku znalezienia czegokolwiek podejrzanego należy skontaktować się z bankiem, firmą Marriott i poprosić o pomoc.
Cyberprzestępcy już na pewno wiedzą o wycieku i z pewnością będą próbowali wykorzystać incydent w atakach phishingowych. Prosimy, aby czytelnicy mieli się na baczności i dokładnie przeglądali e-maile związane z naruszeniem danych klientów sieci hoteli Marriott.
