Uppgifterna från så många som 383 miljoner resenärer kunde ha äventyrats ett brott mot Marriotts Starwood Preferred Guest (SPG) databas. Efter att ursprungligen ha delat information om intrånget i november har företaget släppte uppdaterad information den 4 januari, med färre gäster påverkade men några okrypterade passnummer inblandade intrånget. Marriott säger att ett internt säkerhetsverktyg nyligen uppmärksammade företaget på intrånget, men en undersökning visade att den obehöriga åtkomsten började 2014. Överträdelsen inkluderar bara Starwood Preferred Guest-lojalitetsprogram – gäster som bokade på en Marriott-ägd fastighet från en annan bokningsplattform påverkades inte.
Marriott uppskattade ursprungligen att så många som 500 miljoner gäster kan ha haft data som äventyrats av intrånget, även om företaget ännu inte har slutfört utredningen. Den siffran är nu lägre, och företaget uppskattar att så många som 383 miljoner påverkas. För vissa gäster säger Marriott att betalkortsnummer och utgångsdatum äventyras. Dessa betalningsdata var krypterade, säger Marriott, men utredningen har ännu inte fastställt om komponenterna som behövs för att dekryptera data också komprometterades.
Rekommenderade videor
Nu säger Marriott också att runt 5,25 miljoner okrypterade passnummer också stals, tillsammans med mer än 20 miljoner krypterade nummer. Företaget säger också att betalningsinformationen endast komprometterades för en liten andel av de drabbade av intrånget — cirka 8,5 krypterade nummer påverkades, men en majoritet av dessa kort har redan utgånget.
Relaterad
- HiveNightmare är en otäck ny Windows-bugg. Så här skyddar du dig
- Så här gör du anspråk på $100 eller mer från Yahoos massiva uppgörelse om dataintrång
- New Capital One dataintrång påverkar 100 miljoner människor. Här är det allra senaste
Företaget berättade i november att cirka 327 miljoner gäster hade komprometterad information som inte är betalningsrelaterad, vilket kan inkludera deras namn, postadress, telefonnummer, e-postadress, passnummer, SPG-kontodata, födelsedatum och kön, tillsammans med detaljer som ankomster och avgångar, bokningsdatum och kommunikation preferenser. Andra gäster hade mer begränsad data äventyrad, såsom namn, e-postadress och postadress, säger företaget.
"Vi beklagar djupt att den här händelsen inträffade", säger Arne Sörenson, Marriotts vd och koncernchef, i ett pressmeddelande. "Vi missade vad våra gäster förtjänar och vad vi förväntar oss av oss själva. Vi gör allt vi kan för att stödja våra gäster och använder lärdomar för att komma bättre framåt.”
Intrånget påverkade konton som använder SPG-plattformen mellan 2014 och 10 september 2018. Marriott säger att drabbade gäster har meddelats via e-post, och callcentret kan hjälpa gästerna att avgöra om deras passnummer var en del av intrånget. Företaget erbjuder också en dedikerad webbplats och callcenter för berörda användare, samt ett gratis år med WebWatcher. Intrånget rapporterades också till brottsbekämpande myndigheter.
"I dag bekräftar Marriott vårt engagemang för våra gäster runt om i världen," sa Sorenson. “ Vi arbetar hårt för att säkerställa att våra gäster har svar på frågor om deras personliga information, med en dedikerad webbplats och callcenter. Vi kommer också att fortsätta att stödja brottsbekämpande ansträngningar och att arbeta med ledande säkerhetsexperter för att förbättra. Slutligen ägnar vi de resurser som krävs för att fasa ut Starwood-system och påskynda de pågående säkerhetsförbättringarna i vårt nätverk."
SPG-brickan ansluter sig till andra nya datahack inom resebranschen, inklusive de som påverkar Orbitz, British Airways, och Cathay Pacific.
Vad kan du göra för att skydda dig?
Denna incident är särskilt allvarlig eftersom den inkluderar eventuell förlust av betalkortsnummer, utgångsdatum och annan betalningsinformation. Denna data var krypterad, men det betyder inte att den är säker. Även förlusten av adress- och telefonnummerinformation är betydande eftersom den kan användas för att hjälpa brottslingar att lura offer.
Vivek Lakshman, vice vd för innovation på biometriskt säkerhetsföretag ThumbSignIn, ser en anledning till oro. "Detta är enormt i sin djupa kunskap om kunden och räckvidden för miljontals kunder," sa han. "Om informationen når den mörka webben, som det händer med andra intrång, kan den komma till andra hackare och kan ha en kaskadeffekt på konsumentkonton."
Om du har bott på Marriott på sistone, eller på annat sätt är orolig för att din data har äventyrats, kan du skydda dig själv genom att använda de vanliga metoderna. Enligt Lakshman inkluderar det att ändra dina lösenord, möjliggöra tvåfaktorsautentisering och registrerar dig för tjänsten Webwatcher som Marriott har erbjudit. Du kan ta ett ännu mer extremt och effektivt steg förbi frysa din kredit. Detta kommer att förhindra brottslingar från att använda den komprometterade informationen för att öppna nya krediter i ditt namn.
Vilka blir konsekvenserna för Marriott? Det är svårt att säga. Lakshman sa till Digital Trends att "bortsett från massiv förlust av kundernas förtroende, finns det sannolikt statliga böter för Marriott." Ändå verkade han skeptisk till det dessa böter kommer att bli betydande och tillägger att "[...] med takten av överträdelser kommer även detta att passera och glömmas bort från konsumenternas minne om några få år."
Uppdaterad 4 januari 2019: Lade till uppdaterad data från Marriott.
Redaktörens rekommendationer
- Hackerrangerna exploderar - så här kan du skydda dig själv
- Marriott dataintrång: Vad du ska veta och hur du skyddar din data
- Så här skyddar du dig från Capital Ones dataintrång
- Hur man lämnar in ett krav på $125 om du drabbades av 2017 års Equifax dataintrång
- Är Equifax skyldig dig pengar? Så här kan du ta reda på det
Uppgradera din livsstilDigitala trender hjälper läsare att hålla koll på den snabba teknikvärlden med alla de senaste nyheterna, roliga produktrecensioner, insiktsfulla redaktioner och unika smygtittar.
