Marriott kunngjør sikkerhetsbrudd i Starwood-reservasjonen av databaser

Marriott har iverksatt tiltak for å undersøke og adressere en datasikkerhetshendelse som involverer Starwood-gjestereservasjonsdatabasen. 19. november 2018 fastslo undersøkelsen at det var uautorisert tilgang til databasen, som inneholdt gjesteinformasjon knyttet til reservasjoner på Starwood-eiendommer* på eller før 10. september 2018.

8. september 2018 mottok Marriott et varsel fra et internt sikkerhetsverktøy angående et forsøk på å få tilgang til Starwood-gjestereservasjonsdatabasen i USA. Marriott engasjerte raskt ledende sikkerhetseksperter for å finne ut hva som skjedde. Marriott fikk vite under etterforskningen at det hadde vært uautorisert tilgang til Starwood-nettverket siden 2014. Selskapet oppdaget nylig at en uautorisert part hadde kopiert og kryptert informasjon, og tok skritt for å fjerne den. 19. november 2018 var Marriott i stand til å dekryptere informasjonen og slo fast at innholdet var fra Starwoods gjestereservasjonsdatabasen.

Selskapet er ikke ferdig med å identifisere duplikatinformasjon i databasen, men mener den inneholder informasjon om opptil cirka 500 millioner gjester som har gjort en reservasjon på en Starwood-eiendom. For omtrent 327 millioner av disse gjestene inkluderer informasjonen en kombinasjon av navn, postadresse, telefonnummer, e-postadresse, passnummer, Starwood Preferred Guest (“SPG”) kontoinformasjon, fødselsdato, kjønn, ankomst- og avreiseinformasjon, reservasjonsdato og kommunikasjonspreferanser. For noen inkluderer informasjonen også betalingskortnummer og betalingskorts utløpsdatoer, men betalingskortnumrene ble kryptert med Advanced Encryption Standard-kryptering (AES-128). Det er to komponenter som trengs for å dekryptere betalingskortnumrene, og på dette tidspunktet har Marriott ikke klart å utelukke muligheten for at begge ble tatt. For de gjenværende gjestene var informasjonen begrenset til navn og noen ganger andre data som postadresse, e-postadresse eller annen informasjon.

Marriott rapporterte denne hendelsen til politiet og fortsetter å støtte etterforskningen deres. Selskapet har allerede begynt å varsle tilsynsmyndighetene.

"Vi beklager dypt at denne hendelsen skjedde," sa Arne Sørenson, Marriotts president og administrerende direktør. "Vi kom til kort hva gjestene våre fortjener og hva vi forventer av oss selv. Vi gjør alt vi kan for å støtte gjestene våre, og bruker erfaringene for å komme bedre videre.»

"I dag bekrefter Marriott vårt engasjement for våre gjester rundt om i verden. Vi jobber hardt for å sikre at gjestene våre har svar på spørsmål om deres personlige opplysninger, med en dedikert nettside og kundesenter. Vi vil også fortsette å støtte innsatsen til rettshåndhevelse og å samarbeide med ledende sikkerhetseksperter for å forbedre oss. Til slutt bruker vi ressursene som er nødvendige for å fase ut Starwood-systemer og akselerere de pågående sikkerhetsforbedringene til nettverket vårt, fortsatte Mr. Sorenson.

Gjestesupport

Marriott har tatt følgende skritt for å hjelpe gjestene med å overvåke og beskytte informasjonen deres:

Dedikert nettsted og kundesenter

• Vi har etablert et eget nettsted og et kundesenter for å svare på spørsmål du måtte ha om denne hendelsen. De ofte stilte spørsmålene på info.starwoodhotels.com kan suppleres fra tid til annen. Telefonsenteret er åpent syv dager i uken og er tilgjengelig på flere språk. Samtalevolumet kan være høyt, og vi setter pris på din tålmodighet.

E-postvarsling

• Marriott begynner å sende e-post på rullerende basis fra og med i dag, 30. november 2018, til berørte gjester hvis e-postadresser er i Starwood-reservasjonsdatabasen.