Marriott International heeft ermee ingestemd om 52 miljoen dollar te betalen en wijzigingen aan te brengen om de gegevensbeveiliging te versterken om staats- en federale claims op te lossen die verband houden met grote datalekken die meer dan 300 miljoen van zijn klanten wereldwijd hebben getroffen.
De Federal Trade Commission en een groep procureurs-generaal uit 49 staten en het District of Columbia hebben woensdag de voorwaarden van afzonderlijke schikkingen met Marriott aangekondigd. De FTC en de staten voerden parallelle onderzoeken uit naar drie datalekken, die plaatsvonden tussen 2014 en 2020.
Aanbevolen video’s
Als gevolg van de datalekken hebben “kwaadwillige actoren” paspoortinformatie, betaalkaartnummers, loyaliteitsnummers, geboortedata, e-mailadressen en/of persoonlijke informatie verkregen van honderden miljoenen consumenten, aldus de voorgestelde klacht van de FTC.
De FTC beweerde dat de slechte gegevensbeveiligingspraktijken van Marriott en dochteronderneming Starwood Hotels & Resorts Worldwide tot de inbreuken hadden geleid.
Concreet beweerde het bureau dat de hotelexploitant er niet in was geslaagd zijn computersysteem te beveiligen met passende wachtwoordcontroles, netwerkmonitoring of andere praktijken om gegevens te beschermen.
Als onderdeel van de voorgestelde schikking met de FTC stemde Marriott ermee in om “een robuust informatiebeveiligingsprogramma te implementeren” en al zijn Amerikaanse klanten een manier te bieden om te verzoeken dat alle persoonlijke informatie die verband houdt met hun e-mailadres of loyaliteitsbeloningsaccountnummer wordt verwijderd.
Marriott schikte ook soortgelijke claims van de groep procureurs-generaal. Naast het akkoord om zijn gegevensbeveiligingspraktijken te versterken, zal de hotelexploitant ook een boete van $ 52 miljoen betalen om door de staten te worden gesplitst.
In een verklaring op zijn website woensdag merkte het in Bethesda, Maryland gevestigde Marriott op dat het geen aansprakelijkheid heeft erkend als onderdeel van zijn overeenkomsten met de FTC en staten. Het zei ook dat het al verbeteringen op het gebied van gegevensprivacy en informatiebeveiliging heeft doorgevoerd.
Begin 2020 merkte Marriott dat een onverwachte hoeveelheid gastinformatie werd benaderd met behulp van de inloggegevens van twee medewerkers van een franchiseaccommodatie. Het bedrijf schatte destijds dat de persoonlijke gegevens ongeveer 5,2. miljoen gasten wereldwijd zouden getroffen kunnen zijn.
In november 2018 kondigde Marriott een groot datalek aan waarbij hackers toegang kregen tot informatie over maar liefst 383 miljoen gasten. In dat geval zei Marriott dat er toegang was tot de ongecodeerde paspoortnummers van minstens 5,25 miljoen gasten, evenals tot de creditcardgegevens van 8,6 miljoen gasten. De getroffen hotelmerken werden geëxploiteerd door Starwood voordat het in 2016 door Marriott werd overgenomen.
De FBI leidde het onderzoek naar die gegevensdiefstal en onderzoekers vermoedden dat de hackers werkten in opdracht van het Chinese Ministerie van Staatsveiligheid, het ruwe equivalent van de CIA.