Marriott International и ее дочерняя компания Starwood Hotels выплатят 52 миллиона долларов и разработают программу информационной безопасности для урегулирования последствий утечки данных, затронувшей 344 миллиона клиентов.
Соглашение обязывает Marriott и Starwood внедрить систему защиты данных и дать клиентам в США возможность удалять свои персональные данные. Marriott также согласилась выплатить 52 миллиона долларов 49 штатам в качестве компенсации.
Компания управляет более 7000 отелей в 130 странах. Starwood, приобретенная Marriott в 2016 году, также пострадала от утечек данных, что сделало Marriott ответственной за их безопасность.
Федеральная торговая комиссия США указала три случая утечки данных: в 2014 и 2018 годах хакеры получили доступ к миллионам записей клиентов.
Первый инцидент произошел в июне 2014 года, когда из-за утечки данных Starwood информация о платежных картах ее клиентов была раскрыта. Это нарушение оставалось незамеченным 14 месяцев, увеличивая риски для пострадавших клиентов на протяжении более года.
Во втором случае хакеры получили доступ к 339 миллионам записей клиентов Starwood, включая 5,25 миллиона номеров паспортов, которые не были зашифрованы. Утечка произошла в июле 2014 года, однако она была выявлена только в сентябре 2018 года, что оставило клиентов уязвимыми на несколько лет.
Третий инцидент затронул саму Marriott: в сентябре 2018 года злоумышленники получили доступ к данным 5,2 миллиона гостей. Среди утекших данных были имена, адреса электронной почты, номера телефонов, даты рождения и информация об аккаунтах лояльности. Компания обнаружила утечку лишь в феврале 2020 года.
В рамках урегулирования Marriott обязалась внедрить комплексную программу безопасности, регулярно проводить сторонние аудиты, ограничить объем хранимых данных и дать клиентам возможность удалять личную информацию.
Marriott подтверждает очередную утечку данных после взлома отеля
