حدث الاختراق في وقت ما في عام 2014 ، ولكن لم يتم اكتشافه حتى عام 2018 ، عندما اكتشفت أداة أمنية داخلية محاولة مشبوهة للوصول إلى قاعدة بيانات حجز الضيوف الداخلية لعلامات ماريوت ستاروود التجارية . استحوذت ماريوت على فنادق ستاروود في عام 2016 ، حيث أضافت 11 علامة تجارية جديدة لإضافتها إلى أصول ماريوت الدولية البالغ عددها 19 أصلًا.

دفع تنبيه الأمان الداخلي إلى إجراء تحقيق اكتشف أن شبكة Starwood تعرضت للاختراق في عام 2014 ، قبل الاستحواذ. لم تقم Starwood بترحيل نظام الحجز الخاص بماريوت في عام 2018 ؛ كانت العلامات التجارية لـ Starwood لا تزال تستخدم البنية التحتية القديمة لتكنولوجيا المعلومات ، مما ساهم في نطاق وحجم خرق البيانات.

في تحقيقاتها الداخلية ، وجدت ماريوت أن المتسللين قاموا بتشفير البيانات وإزالتها من نظام Starwood. تضمنت تلك المعلومات معلومات من ما يصل إلى 500 مليون سجل ضيف - على الرغم من أن بعض هذه السجلات كانت مكررة. عندما أعلنوا عن الخرق ، قالت ماريوت إن المتسللين سرقوا معلومات الضيف التي تضمنت "الاسم والعنوان البريدي ورقم الهاتف وعنوان البريد الإلكتروني ورقم جواز السفر ومعلومات حساب ضيف ستاروود المفضل (" SPG ") وتاريخ الميلاد والجنس والوصول ومعلومات المغادرة وتاريخ الحجز وتفضيلات الاتصال. بالنسبة لبعض هؤلاء الضيوف ، سُرقت أيضًا بيانات بطاقات الدفع ، لكن ماريوت لم تحدد عددهم ".

أصبحت التفاصيل الفعلية للهجوم تقنية جدًا ، ولكن كانت هناك بعض الممارسات التجارية والثقافية في Starwood التي تدعم مدى سهولة وصول الممثل السيئ إلى العديد من سجلات الضيوف.

وقال رايان كورناتينو خبير الأمن السيبراني في Crowdstrike لـ Hotel Tech Report ، "كان الهجوم على ماريوت سيئ الحظ ونقطة دخول شائعة للخصوم هي من خلال انتحال البريد الإلكتروني. يستخدم هذا التكتيك في التصيد الاحتيالي من أجل الحصول على برامج ضارة على شبكة مستهدفة ثم التحرك بشكل جانبي عبر جميع الأنظمة. من هناك يمكن للمتسللين الاستفادة من أرقام الحسابات وأرقام رخصة القيادة والمعلومات الحساسة الأخرى من برامج الولاء وأنظمة الحجوزات. لقد قطعت اللوائح العامة لحماية البيانات شوطًا طويلاً لحماية المستهلكين ، ولكن هناك الكثير فقط الذي يمكن القيام به عندما يكون المتسلل قادرًا على تأمين بيانات اعتماد تسجيل الدخول أو الوصول إلى الخوادم مباشرةً ".

اشتهرت ستاروود بامتلاكها نظام حجز غير آمن ؛ هجوم منفصل في عام 2015 تم اختراق البيانات ولم يتم اكتشافه لمدة ثمانية أشهر . ثم ضاعفت ماريوت المشكلة من خلال تسريح موظفي تكنولوجيا المعلومات في Starwoods أثناء عملية الاستحواذ في عام 2016. وقد منع نقص الموظفين من دمج الفنادق المضافة حديثًا بسرعة في نظام الحجز الداخلي الخاص بها. لذلك ، فإن نظام حجز النزيل في Starwood غير الآمن بالفعل ، "تعثر ، مثل الزومبي ، مصاب ببرامج ضارة ، تم اختراقه من قبل المتسللين ، وبدون الكثير من الرعاية المستمرة ، لمدة عامين آخرين قبل اكتشاف الخرق أخيرًا" ، وفقًا لتقارير CSO متصل .

فيما يتعلق بسؤال من اخترق ماريوت ، فإن الإجابة أكثر تعقيدًا. ذكرت كل من نيويورك تايمز وواشنطن بوست أن الهجوم كان جزءًا من جهود جمع المعلومات الاستخبارية التي ترعاها الدولة نيابة عن الحكومة الصينية. الأنماط الموجودة في الكود بالإضافة إلى أساليب صدى الهجوم التي استخدمها المتسللون الصينيون سابقًا ، ولم يتم بيع أي من سجلات الضيوف على الويب المظلم - وهو دليل على أن هذا لم يكن اختراقًا من أجل الربح.

من الناحية المالية ، واجهت ماريوت عقوبات كبيرة نتيجة لخرق البيانات هذا. تم رفع دعاوى قضائية جماعية متعددة ضد العلامة التجارية التي تستهدف فشل ماريوت في أداء العناية الواجبة بشأن أنظمة تكنولوجيا المعلومات الخاصة بشركة Starwood. بالإضافة إلى الدعاوى القضائية ، وافقت ماريوت على دفع تكاليف استبدال جوازات السفر للعملاء الذين وقعوا ضحايا لخرق البيانات.

بشكل منفصل ، قام مكتب مفوض المعلومات في المملكة المتحدة (ICO) ، وهو هيئة مراقبة لحقوق المستهلك ، بتغريم ماريوت 23.8 مليون دولار (أقل من العقوبة الأصلية البالغة 123 مليون دولار) لفشلها في تلبية المعايير الأمنية التي تتطلبها اللائحة العامة لحماية البيانات ( GDPR) . يجادل ICO بأن ماريوت فشلت في "وضع التدابير التقنية أو التنظيمية المناسبة" عند معالجة البيانات ، على الرغم من أنها أقرت أيضًا بأن ماريوت اتخذت منذ ذلك الحين الإجراءات المناسبة لتحسين الأمان. والجدير بالذكر أن الغرامة الأصلية البالغة 123 مليون دولار كانت ستشكل إحدى أكبر العقوبات الصادرة بموجب اللائحة العامة لحماية البيانات ، وتمثل حوالي 3٪ من إجمالي إيرادات ماريوت .

صحيح أنه من الناحية المالية ، من المحتمل أن تنجو ماريوت من انتهاك البيانات هذا. ومع ذلك ، تراجعت درجات رضا العملاء في عام 2019 ، مما جعل العلامة التجارية تتساوى مع هيلتون ، ويشير إلى أن الخرق قد يتسبب في مزيد من الضرر على المدى الطويل لولاء الضيف. تشير الدراسات إلى أن ما يقرب من ربع الأمريكيين سيتوقفون عن التعامل مع شركة تم اختراقها ، في حين أن أكثر من اثنين من كل ثلاثة أشخاص يثقون بشركة أقل بعد خرق البيانات.

في نهاية المطاف ، يعتبر المستقلون أكثر أمانًا من العلامات التجارية لأن لديهم نهبًا أقل جاذبية للمتسللين. نهب أقل يعني حافزًا أقل. علاوة على ذلك ، غالبًا ما يعمل المستقلون مع أفضل بائعي التكنولوجيا بدلاً من محاولة تطوير الأنظمة داخل الشركة. هؤلاء البائعون مدعومون بالمشاريع ويتخذون تدابير كبيرة لضمان أمن البيانات. يجب على أصحاب الفنادق البحث عن بائعي البرامج الذين يستوفون معايير صارمة فيما يتعلق بالأطر التنظيمية الحديثة مثل الامتثال SOC-2 و GDPR و PSD2 و PCI .

ولكن مع ذلك ، حتى بين المستقلين - تعد صناعة الضيافة هدفًا جذابًا للمتسللين. هناك قدر هائل من معلومات التعريف الشخصية التي تجمعها الفنادق ، وغالبًا ما تكون قديمة أو قليلة البروتوكولات الأمنية التي تحمي هذه البيانات القيمة. ليس من المستبعد أن يكون فندقك هدفًا لهجوم إلكتروني في المستقبل: ومع ذلك ، من الضروري تجنب الأخطاء التي ارتكبتها ماريوت في الفشل في العثور على الاختراق لمدة أربع سنوات.

يجب أن تكون الأولوية الأولى لفريق تكنولوجيا المعلومات في أي فندق هي تشفير بيانات النزلاء وإعداد التنبيهات للتحذير فورًا عند حدوث خرق أمني محتمل. يجب تحديث تكنولوجيا المعلومات القديمة ؛ تأكد من تثبيت أحدث إصدار من برنامجك على جميع الأجهزة. غالبًا ما تحتوي تحديثات الأمان على تصحيحات وإصلاحات جديدة تتطور مع مشهد التهديدات. ولديك خطة للتواصل مع العملاء بمجرد أن تشعر بوجود خرق. لا ينبغي أن يكون السؤال "إذا" سيكون هناك هجوم إلكتروني - ولكن متى.