Uma violação de dados é o pior pesadelo de qualquer hotel - especialmente quando dados pessoais e informações dos hóspedes vazam. Antes do COVID-19, os hoteleiros viam a segurança cibernética e a proteção de dados como uma das maiores ameaças ao setor. A indústria da hospitalidade está constantemente sob ameaça; numerosos ataques de malware de alto perfil em hotéis levaram ao comprometimento de centenas de milhões de dados de hóspedes e milhões de dólares em danos.
Caso em questão: Marriott. A rede hoteleira foi recentemente multada em cerca de US$ 23,8 milhões em penalidades como resultado de uma violação de dados que ocorreu em 2014. E o fardo financeiro é apenas o começo dos problemas da Marriott. O ataque comprometeu os detalhes do cartão de crédito, números de passaporte e datas de nascimento de mais de 300 milhões de hóspedes armazenados no banco de dados global de reservas de hóspedes da marca. É uma das maiores violações de dados de todos os tempos.
Embora o seguro cubra grande parte das repercussões financeiras da Marriott, a reputação de sua marca sofrerá no futuro. Veja como aconteceu a violação de dados do Marriott – e como evitar que algo assim aconteça com o seu hotel.
Background: Marriott Data Breach 2014
A violação ocorreu em algum momento de 2014, mas não foi descoberta até 2018, quando uma ferramenta de segurança interna detectou uma tentativa suspeita de acessar o banco de dados interno de reservas de hóspedes das marcas Starwood da Marriott . A Starwood Hotels foi adquirida pela Marriott em 2016, adicionando 11 novas marcas aos 19 ativos originais da Marriott International.
O alerta de segurança interna gerou uma investigação que descobriu que a rede Starwood foi comprometida em 2014, antes da aquisição. A Starwood não migrou o sistema de reservas de Mariott em 2018; As marcas da Starwood ainda usavam infraestrutura de TI herdada, o que contribuiu para o escopo e a escala da violação de dados.
Em sua investigação interna, a Marriott descobriu que os hackers criptografaram dados e os removeram do sistema Starwood. Essas informações incluíam informações de até 500 milhões de registros de hóspedes – embora alguns desses registros fossem duplicados. Quando anunciaram a violação, o Marriott disse que os hackers roubaram informações dos hóspedes que incluíam “nome, endereço de correspondência, número de telefone, endereço de e-mail, número do passaporte, informações da conta Starwood Preferred Guest ("SPG"), data de nascimento, sexo, chegada e informações de partida, data de reserva e preferências de comunicação. Para alguns desses hóspedes, os dados do cartão de pagamento também foram roubados, mas a Marriott não disse quantos”.
How Did the Marriott Data Breach Happen?
As especificidades reais do ataque são bastante técnicas, mas havia algumas práticas comerciais e culturais na Starwood que sustentam como era fácil para um ator mal-intencionado acessar tantos registros de convidados.
O especialista em segurança cibernética da Crowdstrike, Ryan Cornateanu, disse ao Hotel Tech Report : “O ataque ao Marriott foi infeliz e um ponto de entrada popular para os adversários é por meio da falsificação de e-mail. Essa tática é usada em phishing para colocar malware em uma rede de destino e, em seguida, mover-se lateralmente em todos os sistemas. A partir daí, os hackers podem aproveitar números de contas, números de carteira de motorista e outras informações confidenciais de programas de fidelidade e sistemas de reservas. O regulamento geral de proteção de dados percorreu um longo caminho para proteger os consumidores, mas há muito o que pode ser feito quando um hacker é capaz de proteger credenciais de login ou acessar servidores diretamente.”
A Starwood era conhecida por ter um sistema de reservas inseguro ; um ataque separado em 2015 comprometeu os dados e não foi detectado por oito meses . A Marriott então agravou o problema demitindo a equipe de TI da Starwoods durante a aquisição em 2016. A falta de pessoal impediu a Marriott de integrar rapidamente as propriedades hoteleiras recém-adicionadas em seu próprio sistema interno de reservas. O já inseguro sistema de reserva de hóspedes da Starwood, portanto, “mancou, como um zumbi, infectado com malware, violado por hackers e sem muita continuidade de atendimento, por mais dois anos antes que a violação fosse finalmente descoberta”, relata o CSO Online .
Quanto à questão de quem hackeou o Marriott, essa resposta é ainda mais complicada. Tanto o New York Times quanto o Washington Post relataram que o ataque fazia parte de um esforço de coleta de informações patrocinado pelo estado em nome do governo chinês. Padrões no código, bem como o método das técnicas de eco de ataque anteriormente empregadas por hackers chineses, e nenhum dos registros de convidados acabou à venda na dark web – uma pista de que este não era um hack com fins lucrativos.
Junte-se a mais de 100 mil executivos das principais marcas de hotéis do mundo e receba os insights mais recentes em sua caixa de entrada uma vez por semana
The Repercussions for Marriott
Financeiramente, a Marriott enfrentou penalidades significativas como resultado dessa violação de dados. Várias ações coletivas foram movidas contra a marca visando o fracasso da Marriott em realizar sua devida diligência nos sistemas de TI da Starwood. Além dos processos, a Marriott concordou em pagar pela substituição de passaportes para clientes vítimas da violação de dados.
Separadamente, o Information Commissioner's Office (ICO) do Reino Unido, um órgão fiscalizador dos direitos do consumidor, multou a Marriott em US$ 23,8 milhões (abaixo da penalidade original de US$ 123 milhões) por não atender aos padrões de segurança exigidos pelo GDPR . O ICO argumenta que a Marriott falhou em "colocar em prática medidas técnicas ou organizacionais apropriadas" ao processar dados, embora também reconhecesse que a Marriott desde então tomou as medidas apropriadas para melhorar a segurança. Notavelmente, a multa original de $ 123 milhões teria sido uma das maiores penalidades emitidas sob o GDPR, representando cerca de 3% da receita total da Marriott .
É verdade que, financeiramente, a Marriott provavelmente sobreviverá a essa violação de dados. As pontuações de satisfação do cliente, no entanto, caíram em 2019 , colocando a marca empatada com a Hilton e sugerindo que a violação pode causar mais danos a longo prazo à fidelidade do hóspede. Estudos mostram que quase um quarto dos americanos deixará de fazer negócios com uma empresa que foi hackeada, enquanto mais de duas em cada três pessoas confiam menos em uma empresa após uma violação de dados.
How to Avoid a Similar Data Breach
Em última análise, os independentes são muito mais seguros do que as marcas porque têm saques menos atraentes para os hackers. Menos pilhagem significa menos incentivo. Além disso, os independentes geralmente trabalham com os melhores fornecedores de tecnologia, em vez de tentar desenvolver sistemas internamente. Esses fornecedores são apoiados por empreendimentos e tomam ótimas medidas para garantir a segurança dos dados. Os hoteleiros devem procurar fornecedores de software que atendam a padrões rigorosos em relação a estruturas regulatórias modernas, como SOC-2 , GDPR, PSD2 e conformidade com PCI .
Mesmo assim, mesmo entre os independentes, a indústria hoteleira é um alvo atraente para os hackers. Há uma grande quantidade de informações de identificação pessoal coletadas pelos hotéis e, muitas vezes, desatualizadas ou com poucos protocolos de segurança que protegem esses dados valiosos. Não está fora de questão que seu hotel possa ser alvo de um ataque cibernético no futuro: no entanto, é crucial evitar os erros que a Marriott cometeu ao não encontrar a violação por quatro anos.
A primeira prioridade da equipe de TI de qualquer hotel deve ser criptografar os dados dos hóspedes e configurar alertas para avisar imediatamente quando houver uma possível violação de segurança. A TI legada deve ser atualizada; certifique-se de que a versão mais recente do seu software esteja instalada em todos os dispositivos. As atualizações de segurança geralmente contêm patches e novas correções que evoluem com o cenário de ameaças. E tenha um plano para se comunicar com os clientes assim que perceber que houve uma violação. A questão não deveria ser “se” haverá um ataque cibernético – mas quando.
