De inbreuk vond ergens in 2014 plaats, maar werd pas in 2018 ontdekt, toen een interne beveiligingstool een verdachte poging betrapte om toegang te krijgen tot de interne reserveringsdatabase voor gasten van Marriott's Starwood-merken . Starwood Hotels werd in 2016 overgenomen door Marriott, waarmee 11 nieuwe merken werden toegevoegd aan de oorspronkelijke 19 activa van Marriott International.

De interne beveiligingswaarschuwing leidde tot een onderzoek waaruit bleek dat het Starwood-netwerk in 2014, vóór de overname, was gecompromitteerd. Starwood had het reserveringssysteem van Mariott in 2018 niet gemigreerd; Starwood-merken gebruikten nog steeds verouderde IT-infrastructuur, wat bijdroeg aan de reikwijdte en omvang van het datalek.

In hun interne onderzoek ontdekte Marriott dat hackers gegevens hadden versleuteld en uit het Starwood-systeem hadden verwijderd. Die informatie omvatte informatie van wel 500 miljoen gastrecords - hoewel sommige van die records duplicaten waren. Toen ze de inbreuk aankondigden, zei Marriott dat de hackers gastinformatie hadden gestolen , waaronder "een naam, postadres, telefoonnummer, e-mailadres, paspoortnummer, Starwood Preferred Guest ("SPG") accountinformatie, geboortedatum, geslacht, aankomst en vertrekinformatie, reserveringsdatum en communicatievoorkeuren. Van een aantal van deze gasten zijn ook betaalkaartgegevens gestolen, maar Marriott heeft niet gezegd voor hoeveel.”

De feitelijke details van de aanval worden behoorlijk technisch, maar er waren enkele zakelijke en culturele praktijken bij Starwood die onderstrepen hoe gemakkelijk het was voor een slechte acteur om toegang te krijgen tot zoveel gastrecords.

Crowdstrike- cyberbeveiligingsexpert Ryan Cornateanu vertelde Hotel Tech Report : “De aanval op Marriott was ongelukkig en een populair toegangspunt voor tegenstanders is via e-mailspoofing. Deze tactiek wordt gebruikt bij phishing om malware op een doelnetwerk te krijgen om zich vervolgens zijdelings over alle systemen te verplaatsen. Van daaruit kunnen hackers gebruikmaken van rekeningnummers, rijbewijsnummers en andere gevoelige informatie uit loyaliteitsprogramma's en reserveringssystemen. De algemene verordening inzake gegevensbescherming heeft een lange weg afgelegd om consumenten te beschermen, maar er kan alleen zoveel worden gedaan als een hacker inloggegevens kan beveiligen of rechtstreeks toegang kan krijgen tot servers.”

Starwood was berucht vanwege het onveilige reserveringssysteem ; een afzonderlijke aanval in 2015 bracht gegevens in gevaar en werd acht maanden lang niet gedetecteerd. Marriott verergerde het probleem vervolgens door Starwoods IT-personeel te ontslaan tijdens de overname in 2016. Het gebrek aan personeel verhinderde Marriott om nieuw toegevoegde hotelaccommodaties snel te integreren in zijn eigen interne reserveringssysteem. Het toch al onveilige gastreserveringssysteem van Starwood strompelde daarom nog twee jaar door, zombie-achtig, geïnfecteerd met malware, gehackt door hackers en zonder veel continuïteit van zorg, voordat de inbreuk eindelijk werd ontdekt, meldt CSO . online .

Wat betreft de vraag wie Marriott heeft gehackt, dat antwoord is nog ingewikkelder. Zowel de New York Times als de Washington Post meldden dat de aanval deel uitmaakte van een door de staat gesponsorde inspanning om inlichtingen te verzamelen namens de Chinese regering. Patronen in de code en de methode van de aanval echoën technieken die eerder door Chinese hackers werden gebruikt, en geen van de gastrecords kwam te koop op het dark web – een aanwijzing dat dit geen hack met winstoogmerk was.

Financieel kreeg Marriott te maken met aanzienlijke boetes als gevolg van dit datalek. Er werden meerdere class action-rechtszaken aangespannen tegen het merk, gericht op het falen van Marriott om zijn due diligence uit te voeren op de IT-systemen van Starwood. Naast de rechtszaken stemde Marriott ermee in om paspoortvervangingen te betalen voor klanten die het slachtoffer waren van het datalek.

Afzonderlijk heeft het Britse Information Commissioner's Office (ICO), een waakhond voor consumentenrechten, Marriott een boete opgelegd van $ 23,8 miljoen (minder dan de oorspronkelijke boete van $ 123 miljoen) wegens het niet voldoen aan de beveiligingsnormen die vereist zijn door de AVG . De ICO stelt dat Marriott er niet in is geslaagd om "passende technische of organisatorische maatregelen te nemen" bij het verwerken van gegevens, hoewel het ook erkent dat Marriott sindsdien de juiste maatregelen heeft genomen om de beveiliging te verbeteren. Met name de oorspronkelijke boete van $ 123 miljoen zou een van de grootste boetes zijn geweest die onder de AVG zijn opgelegd, wat neerkomt op ongeveer 3% van de totale omzet van Marriott .

Het is waar dat Marriott financieel waarschijnlijk dit datalek zal overleven. De klanttevredenheidsscores daalden echter in 2019 , waardoor het merk op gelijke hoogte kwam met Hilton en suggereert dat de inbreuk op de lange termijn meer schade kan toebrengen aan de loyaliteit van gasten. Uit onderzoek blijkt dat bijna een kwart van de Amerikanen geen zaken meer doet met een bedrijf dat gehackt is, terwijl ruim twee op de drie mensen een bedrijf minder vertrouwen na een datalek.

Uiteindelijk zijn onafhankelijken veel veiliger dan merken omdat ze minder aantrekkelijke buit hebben voor hackers. Minder buit betekent minder stimulans. Verder werken onafhankelijken vaak samen met de beste technologieleveranciers in plaats van te proberen systemen intern te ontwikkelen. Deze leveranciers worden gesteund door durfkapitaal en nemen grote maatregelen om de gegevensbeveiliging te waarborgen. Hoteliers moeten op zoek gaan naar softwareleveranciers die voldoen aan strenge normen met betrekking tot moderne regelgevingskaders zoals SOC-2 , GDPR, PSD2 en PCI- compliance.

Maar toch, ook onder zelfstandigen is de horeca een aantrekkelijk doelwit voor hackers. Er wordt een enorme hoeveelheid persoonlijk identificeerbare informatie verzameld door hotels, en vaak verouderde of weinig beveiligingsprotocollen die deze waardevolle gegevens beschermen. Het is niet uitgesloten dat uw hotel in de toekomst het doelwit zou kunnen zijn van een cyberaanval: het is echter cruciaal om de fouten te vermijden die Marriott heeft gemaakt door vier jaar lang de inbreuk niet te vinden.

De eerste prioriteit van het IT-team van elk hotel zou moeten zijn om gastgegevens te versleutelen en waarschuwingen in te stellen om onmiddellijk te waarschuwen wanneer er een mogelijke inbreuk op de beveiliging is. Legacy IT moet up-to-date worden gebracht; zorg ervoor dat de nieuwste versie van uw software op alle apparaten is geïnstalleerd. Beveiligingsupdates bevatten vaak patches en nieuwe oplossingen die meegroeien met het bedreigingslandschap. En zorg voor een plan om met klanten te communiceren zodra u merkt dat er een inbreuk is gepleegd. De vraag moet niet zijn "of" er een cyberaanval zal plaatsvinden, maar wanneer.