Sorry, this functionality is only available for verified hoteliers

The project dashboard is a free tool that is only available to verified hoteliers to make adopting new technology easier by streamlining their research and simplifying their communication workflow.

4 דקות קריאה

שאלות נפוצות בנושא הפרת נתונים של Marriott: מה באמת קרה?

גִלגוּל

Jordan Hollander ב פעולות

עודכן לאחרונה פברואר 16, 2023

תיאור תמונה

הפרת נתונים היא הסיוט הגרוע ביותר של כל מלון - במיוחד כאשר נתונים אישיים ופרטי אורחים דולפים. לפני COVID-19 המלונאים ראו באבטחת סייבר והגנת נתונים את אחד האיומים הגדולים ביותר על התעשייה. תעשיית האירוח נתונה כל הזמן תחת איום; התקפות תוכנה זדוניות רבות בפרופיל גבוה על בתי מלון הובילו לפגיעה במאות מיליוני נתונים של האורחים ולנזק של מיליוני דולרים.

מקרה בנקודה: מריוט. רשת המלונות נקנסה לאחרונה בסביבות 23.8 מיליון דולר בקנסות כתוצאה מפרצת מידע שהתרחשה ב-2014. והנטל הכספי הוא רק ההתחלה של הצרות של מריוט. המתקפה פגעה בפרטי כרטיסי האשראי, מספרי הדרכונים ותאריכי הלידה של יותר מ-300 מיליון אורחים המאוחסנים במאגר הזמנת האורחים העולמי של המותג. זו אחת מפריצות הנתונים הגדולות ביותר אי פעם.

בעוד שהביטוח יכסה חלק גדול מההשלכות הפיננסיות של מריוט, המוניטין של המותג שלה יסבול גם בעתיד. הנה איך קרתה הפרת הנתונים של Marriott - וכיצד למנוע ממשהו כזה לקרות למלון שלך.

Background: Marriott Data Breach 2014

הפרצה התרחשה מתישהו בשנת 2014, אך היא לא התגלתה עד 2018, כאשר כלי אבטחה פנימי תפס ניסיון חשוד לגשת למסד הנתונים הפנימי של הזמנת אורחים עבור מותגי Starwood של מריוט . Starwood Hotels נרכשה על ידי Marriott בשנת 2016, והוסיפה 11 מותגים חדשים שיוסיפו ל-19 הנכסים המקוריים של Marriott International.

התראת האבטחה הפנימית עוררה חקירה שגילתה שרשת סטארווד נפגעה ב-2014, לפני הרכישה. סטארווד לא העביר את מערכת ההזמנות של מריוט ב-2018; מותגי Starwood עדיין השתמשו בתשתית IT מדור קודם, מה שתרם להיקף ולהיקף הפרת הנתונים.

בחקירתם הפנימית, מריוט גילה שהאקרים הצפנו נתונים והסירו אותם ממערכת סטארווד. מידע זה כלל מידע מתוך עד 500 מיליון רשומות אורחים - למרות שחלק מהרשומות הללו היו כפילויות. כשהודיעו על ההפרה, אמרו מריוט כי ההאקרים גנבו מידע אורח הכולל "שם, כתובת דואר, מספר טלפון, כתובת דואר אלקטרוני, מספר דרכון, פרטי חשבון Starwood Preferred Guest ("SPG"), תאריך לידה, מין, הגעה ומידע על יציאה, תאריך הזמנה והעדפות תקשורת. עבור חלק מהאורחים הללו נגנבו גם נתוני כרטיסי תשלום, אך ממריוט לא נמסר בכמה".

How Did the Marriott Data Breach Happen?

הפרטים האמיתיים של המתקפה הופכים די טכניים, אבל היו כמה שיטות עסקיות ותרבותיות בסטארווד שמבססות כמה קל היה לשחקן גרוע לגשת לכל כך הרבה רשומות אורחים.

מומחה אבטחת הסייבר של Crowdstrike, Ryan Cornateanu, אמר ל-Hotel Tech Report , "המתקפה על מריוט הייתה אומללה ונקודת כניסה פופולרית עבור יריבים היא באמצעות זיוף דוא"ל. טקטיקה זו משמשת בדיוג על מנת להעביר תוכנות זדוניות לרשת יעד כדי לעבור לרוחב בכל המערכות. משם האקרים יכולים למנף מספרי חשבונות, מספרי רישיון נהיגה ומידע רגיש אחר מתוכניות נאמנות ומערכות הזמנות. הרגולציה הכללית להגנה על נתונים עשתה דרך ארוכה כדי להגן על צרכנים, אבל יש רק כל כך הרבה שאפשר לעשות כאשר האקר מסוגל לאבטח אישורי התחברות או לגשת ישירות לשרתים."

סטארווד הייתה ידועה לשמצה בכך שיש לה מערכת הזמנות לא מאובטחת ; מתקפה נפרדת ב-2015 פגעה בנתונים ולא זוהתה במשך שמונה חודשים . לאחר מכן, מריוט הוסיפה את הנושא על ידי פיטורי צוות ה-IT של Starwoods במהלך הרכישה ב-2016. המחסור בכוח אדם מנע ממריוט לשלב במהירות נכסי מלון חדשים שנוספו לתוך מערכת ההזמנות הפנימית שלה. מערכת הזמנת האורחים שכבר לא מאובטחת של Starwood, לפיכך, "צלעה, דמוית זומבים, נגועה בתוכנה זדונית, נפרצה על ידי האקרים, וללא הרבה דרך של רציפות טיפול, עוד שנתיים לפני שהפרה התגלתה לבסוף", מדווח CSO באינטרנט .

לגבי השאלה מי פרץ למריוט, התשובה הזו מורכבת עוד יותר. גם הניו יורק טיימס וגם הוושינגטון פוסט דיווחו כי המתקפה הייתה חלק ממאמץ לאיסוף מודיעין בחסות המדינה מטעם ממשלת סין. דפוסים בקוד כמו גם שיטת ההד של התקיפה שהופעלו בעבר על ידי האקרים סינים, ואף אחת מהרשומות של האורחים לא הגיעה למכירה ברשת האפלה - רמז שזו לא הייתה פריצה למטרות רווח.

קבל את הטיפים, הטרנדים והתובנות הטכנולוגיות העדכניות ביותר של מלונות המועברים לתיבת הדואר הנכנס שלך פעם בשבוע
נרשמת
פורמט דוא"ל לא חוקי
post_faces_combined הצטרפו ל-100 אלף מנהלים ממותגי המלונות המובילים בעולם וקבלו את התובנות העדכניות ביותר שנשלחו לתיבת הדואר הנכנס פעם בשבוע

The Repercussions for Marriott

מבחינה פיננסית, מריוט עמדה בפני עונשים משמעותיים כתוצאה מהפרת נתונים זו. תביעות ייצוגיות מרובות הוגשו נגד המותג שמטרתן כישלונה של מריוט לבצע את בדיקת הנאותות שלו במערכות ה-IT של סטארווד. בנוסף לתביעות, מריוט הסכימה לשלם עבור החלפת דרכונים עבור לקוחות שנפגעו מהפרת הנתונים.

בנפרד, משרד נציב המידע של בריטניה (ICO), כלב שמירה על זכויות צרכן, קנס את מריוט ב-23.8 מיליון דולר (ירידה מהעונש המקורי של 123 מיליון דולר) על אי עמידה בתקני האבטחה הנדרשים ב- GDPR . ה- ICO טוען שמריוט לא הצליחה "להציב אמצעים טכניים או ארגוניים מתאימים" בעת עיבוד נתונים, אם כי היא גם הכירה בכך שמריוט נקטה מאז את האמצעים המתאימים לשיפור האבטחה. יש לציין, הקנס המקורי בסך 123 מיליון דולר היה אחד מהעונשים הגדולים ביותר שהונפקו במסגרת GDPR, המייצג כ -3% מסך ההכנסות של מריוט .

זה נכון שמבחינה כלכלית, מריוט כנראה תשרוד את הפרת הנתונים הזו. ציוני שביעות הרצון של הלקוחות, לעומת זאת, צנחו ב-2019 , מה שהביא את המותג אפילו עם הילטון ומצביע על כך שהפרה עלולה לגרום לפגיעה ארוכת טווח יותר בנאמנות האורחים. מחקרים מראים שכמעט רבע מהאמריקאים יפסיקו לעשות עסקים עם חברה שנפרצה, בעוד שיותר משניים מכל שלושה אנשים סומכים על חברה פחות לאחר פרצת מידע.

How to Avoid a Similar Data Breach

בסופו של דבר עצמאים בטוחים הרבה יותר ממותגים מכיוון שיש להם שלל פחות אטרקטיבי עבור האקרים. פחות שלל אומר פחות תמריץ. יתר על כן, עצמאים עובדים לעתים קרובות עם ספקי טכנולוגיה מהטובים ביותר במקום לנסות לפתח מערכות בעצמם. ספקים אלה מגובים סיכון ונוקטים בצעדים גדולים כדי להבטיח אבטחת מידע. המלונאים צריכים לחפש ספקי תוכנה העומדים בתקנים מחמירים בכל הנוגע למסגרות רגולטוריות מודרניות כמו SOC-2 , GDPR, PSD2 ותאימות PCI .

אבל עדיין, גם בקרב עצמאיים - תעשיית האירוח היא יעד אטרקטיבי להאקרים. יש כמות עצומה של מידע אישי הנאסף על ידי בתי מלון, ולעתים קרובות פרוטוקולי אבטחה מיושנים או מעטים המגינים על הנתונים היקרים האלה. לא מן הנמנע שהמלון שלכם יכול להיות יעד למתקפת סייבר בעתיד: עם זאת, חיוני להימנע מהטעויות שעשתה Marriott כשלא מצא את הפרצה במשך ארבע שנים.

העדיפות הראשונה של צוות ה-IT של כל מלון צריכה להיות הצפנת נתוני אורחים והגדרת התראות שיתריעו מיד כאשר ישנה פרצת אבטחה אפשרית. יש לעדכן את ה-IT מדור קודם; ודא שהגרסה החדשה ביותר של התוכנה שלך מותקנת בכל המכשירים. עדכוני אבטחה מכילים לעתים קרובות תיקונים ותיקונים חדשים המתפתחים עם נוף האיומים. בנוסף, יש לך תוכנית לתקשר עם לקוחות ברגע שאתה מרגיש שיש הפרה. השאלה לא צריכה להיות "אם" תהיה מתקפת סייבר - אלא מתי.

תמונת מחבר
Jordan Hollander
CEO פרופיל לינקדאין
Jordan is the co-founder of HotelTechReport, the hotel industry's app store where millions of professionals discover tech tools to transform their businesses. He was previously on the Global Partnerships team at Starwood Hotels & Resorts. Prior to his work with SPG, Jordan was Director of Business Development at MWT Hospitality and an equity analyst at Wells Capital Management. Jordan received his MBA from Northwestern’s Kellogg School of Management where he was a Zell Global Entrepreneurship Scholar and a Pritzker Group Venture Fellow.
אולי תאהב גם
ChatGPT Hotel Ads: They're Here and OTAs Already Have First-Mover Advantage שיווק פרסומות מלונות של ChatGPT: הן כאן ול-OTA כבר יש יתרון של ראשונים

לפני חודש

The Best Hotel Tech Apps of 2026 חווית אורח אפליקציות הטכנולוגיה הטובות ביותר למלונות לשנת 2026

לפני 4 חודשים

The 10 Best Places to Work in Hotel Tech 2026 פעולות 10 מקומות העבודה הטובים ביותר בטכנולוגיית מלונות 2026

לפני 4 חודשים

HITEC Indianapolis 2025 Innovation Report חווית אורח דו"ח החדשנות של HITEC אינדיאנפוליס 2025

לפני 11 חודשים

קבל המלצות מוצר מותאמות אישית

יועץ להמלצות מוצרים

Ghostel icon

בואו נחפש את פרטי המלון שלכם