Polityka i prawo
Sieć popularnych hoteli ukarana za naruszenie danych
Marriott zapłaci ponad 18 milionów funtów za naruszenie ochrony danych - oznajmił brytyjski organ ochrony danych. Początkowo kara miała być większa, ale ostatecznie zmniejszono ją z powodu pandemii koronawirusa.
Biuro komisarza ds. informacji (ICO) ukarało amerykańską sieć hoteli Marriott International karą w wysokości 18,4 miliona funtów za wyciek danych. Hakerzy włamali się w 2014 roku do systemu rezerwacji Starwood Hotel, który 2 lata później został nabyty przez amerykańską spółkę. Dopiero jednak w 2018 roku zauważono podejrzaną aktywność świadczącą o działalności hakerów. Do tego czasu cyberprzestępcy mieli dostęp do: imion i nazwisk, adresów e-mailowych, numerów telefonów, niezaszyfrowanych numerów paszportów, numerów kart lojalnościowych, informacji o czasie przyjazdu i wyjazdu czy statucie VIPa. W wyniku ataków hakerzy uzyskali dostęp do 339 milionów rekordów danych. Biuro komisarza ds. informacji zauważa, że niemożliwym jest oszacowanie dokładnej liczby poszkodowanych, ponieważ kilkanaście rekordów danych może należeć do jednej osoby.
Śledztwo ICO stwierdziło, że były błędy i zaniedbania ze strony Marriottu, który nie wdrożył odpowiednich środków technicznych i organizacyjnych zapewniających odpowiednią ochroną danych osobowych zgodne z wymaganiami RODO. Incydent był badany w zgodzie z prawem unijnym, ponieważ miał miejsce jeszcze przed wystąpieniem Wielkiej Brytanii z Unii Europejskiej.
Na obniżenie ostatecznej kary wpływ miały kroki podjęte przez Marriott, aby zminimalizować efekty incydentów oraz pandemia COVID-19, która mocno uderzyła w branżę hotelarską.
Atak, który rozpoczął się w 2014 roku polegał na umieszczeniu złośliwego fragmentu kodu (web shell) w systemach Starwood co umożliwiło hakerom zdalny dostęp i następnie zainstalowanie złośliwego oprogramowania, pozwalającego na dostęp do systemów z poziomu uprzywilejowanego użytkownika. W ten sposób cyberprzestępcy uzyskiwali dostęp do wszystkich urządzeń w sieci, do których ten uprzywilejowany użytkownik miał dostęp. Kolejne narzędzia, jakie były instalowane przez hakerów pozwalały na zbieranie danych logowania klientów i uzyskanie dostępu do bazy zawierających informacje dot. rezerwacji a następnie jej kradzież. Marriott zareagował bardzo szybko i natychmiast skontaktował się z pokrzywdzonymi klientami - co zostało docenione przez ICO. Cyberatak na Starwood pozostaje jednym z największych wymierzonych w branże hotelową.