La violazione è avvenuta nel 2014, ma non è stata scoperta fino al 2018, quando uno strumento di sicurezza interno ha rilevato un tentativo sospetto di accedere al database interno delle prenotazioni degli ospiti per i marchi Starwood di Marriott . Starwood Hotels è stata acquisita da Marriott nel 2016, aggiungendo 11 nuovi marchi da aggiungere alle 19 risorse originali di Marriott International.

L'allarme di sicurezza interna ha provocato un'indagine che ha scoperto che la rete Starwood era stata compromessa nel 2014, prima dell'acquisizione. Starwood non aveva migrato il sistema di prenotazione di Mariott nel 2018; I marchi Starwood utilizzavano ancora l'infrastruttura IT legacy, che ha contribuito alla portata e alla portata della violazione dei dati.

Nella loro indagine interna, Marriott ha scoperto che gli hacker avevano dati crittografati e li hanno rimossi dal sistema Starwood. Tali informazioni includevano informazioni provenienti da un massimo di 500 milioni di record di ospiti , sebbene alcuni di questi record fossero duplicati. Quando hanno annunciato la violazione, Marriott ha affermato che gli hacker hanno rubato informazioni sugli ospiti che includevano "nome, indirizzo postale, numero di telefono, indirizzo e-mail, numero di passaporto, informazioni sull'account Starwood Preferred Guest ("SPG"), data di nascita, sesso, arrivo e informazioni sulla partenza, data di prenotazione e preferenze di comunicazione. Per alcuni di questi ospiti sono stati rubati anche i dati delle carte di pagamento, ma Marriott non ha detto per quanti”.

I dettagli effettivi dell'attacco diventano piuttosto tecnici, ma c'erano alcune pratiche commerciali e culturali a Starwood che sostengono quanto fosse facile per un cattivo attore accedere a così tanti record di ospiti.

L'esperto di sicurezza informatica di Crowdstrike Ryan Cornateanu ha dichiarato a Hotel Tech Report : “L'attacco a Marriott è stato sfortunato e un popolare punto di ingresso per gli avversari è lo spoofing delle e-mail. Questa tattica viene utilizzata nel phishing per portare il malware su una rete target per poi spostarsi lateralmente su tutti i sistemi. Da lì gli hacker possono sfruttare numeri di account, numeri di patente di guida e altre informazioni sensibili da programmi fedeltà e sistemi di prenotazione. Il regolamento generale sulla protezione dei dati ha fatto molto per proteggere i consumatori, ma c'è poco da fare quando un hacker è in grado di proteggere le credenziali di accesso o accedere direttamente ai server".

Starwood era noto per avere un sistema di prenotazione insicuro ; un altro attacco nel 2015 ha compromesso i dati e non è stato rilevato per otto mesi . Marriott ha quindi aggravato il problema licenziando il personale IT di Starwoods durante l'acquisizione nel 2016. La mancanza di personale ha impedito a Marriott di integrare rapidamente le proprietà alberghiere appena aggiunte nel proprio sistema di prenotazione interno. Il sistema di prenotazione degli ospiti di Starwood, già insicuro, quindi, "zoppicava, simile a uno zombi, infettato da malware, violato dagli hacker e senza molta continuità di assistenza, per altri due anni prima che la violazione fosse finalmente scoperta", riferisce CSO in linea .

Per quanto riguarda la domanda su chi ha hackerato Marriott, la risposta è ancora più complicata. Sia il New York Times che il Washington Post hanno riferito che l'attacco faceva parte di uno sforzo di raccolta di informazioni sponsorizzato dallo stato per conto del governo cinese. I modelli nel codice e il metodo dell'attacco fanno eco alle tecniche precedentemente utilizzate dagli hacker cinesi e nessuno dei record degli ospiti è finito in vendita sul dark web, un indizio che non si trattava di un hack a scopo di lucro.

Dal punto di vista finanziario, Marriott ha dovuto affrontare sanzioni significative a causa di questa violazione dei dati. Diverse azioni legali collettive sono state intentate contro il marchio mirando al fallimento di Marriott nell'eseguire la due diligence sui sistemi IT di Starwood. Oltre alle cause legali, Marriott ha accettato di pagare per la sostituzione del passaporto per i clienti vittime della violazione dei dati.

Separatamente, l' Information Commissioner's Office (ICO) del Regno Unito, un cane da guardia per i diritti dei consumatori, ha multato Marriott di $ 23,8 milioni (in calo rispetto alla sanzione originale di $ 123 milioni) per non aver rispettato gli standard di sicurezza richiesti dal GDPR . L' ICO sostiene che Marriott non è riuscito a "mettere in atto misure tecniche o organizzative appropriate" durante l'elaborazione dei dati, sebbene abbia anche riconosciuto che Marriott ha adottato da allora le misure adeguate per migliorare la sicurezza. In particolare, la sanzione originaria di 123 milioni di dollari sarebbe stata una delle maggiori sanzioni emesse ai sensi del GDPR, rappresentando circa il 3% delle entrate totali di Marriott .

È vero che dal punto di vista finanziario, Marriott probabilmente sopravviverà a questa violazione dei dati. I punteggi di soddisfazione del cliente, tuttavia, sono diminuiti nel 2019 , portando il marchio alla pari con Hilton e suggerendo che la violazione potrebbe causare danni più a lungo termine alla fedeltà degli ospiti. Gli studi dimostrano che quasi un quarto degli americani smetterà di fare affari con un'azienda che è stata violata, mentre più di due persone su tre si fidano meno di un'azienda dopo una violazione dei dati.

In definitiva, gli indipendenti sono molto più sicuri dei marchi perché hanno un bottino meno attraente per gli hacker. Meno bottino significa meno incentivi. Inoltre, gli indipendenti spesso lavorano con i migliori fornitori di tecnologia piuttosto che tentare di sviluppare sistemi internamente. Questi fornitori sono supportati da venture capital e adottano grandi misure per garantire la sicurezza dei dati. Gli albergatori dovrebbero cercare fornitori di software che soddisfino standard rigorosi per quanto riguarda i quadri normativi moderni come la conformità SOC-2 , GDPR, PSD2 e PCI .

Tuttavia, anche tra gli indipendenti, il settore dell'ospitalità è un bersaglio attraente per gli hacker. C'è un'enorme quantità di informazioni di identificazione personale raccolte dagli hotel e spesso protocolli di sicurezza obsoleti o pochi che proteggono questi dati preziosi. Non è escluso che il tuo hotel possa essere bersaglio di un attacco informatico in futuro: tuttavia, è fondamentale evitare gli errori commessi da Marriott non trovando la falla per quattro anni.

La prima priorità del team IT di qualsiasi hotel dovrebbe essere quella di crittografare i dati degli ospiti e impostare avvisi per avvisare immediatamente quando si è verificata una potenziale violazione della sicurezza. L'IT legacy deve essere aggiornato; assicurati che la versione più recente del tuo software sia installata su tutti i dispositivi. Gli aggiornamenti di sicurezza spesso contengono patch e nuove correzioni che si evolvono con il panorama delle minacce. E prepara un piano per comunicare con i clienti non appena senti che c'è stata una violazione. La domanda non dovrebbe essere "se" ci sarà un attacco informatico , ma quando.