Újra meghackelték a Marriott szállodaláncot, 5 millió vendég adatai kerültek ki
A Marriott nemzetközi szállodalánc jelentette, hogy közel 5,2 millió szállodai vendég adatai kerültek nyilvánosságra egy hackertámadás következtében. Nem ez az első alkalom, hogy a társaságot kibertámadás áldozata.
A szállodalánc legutóbbi nyilatkozatában azt írta: „február végén azt észleltük, hogy a franchise vállalat két alkalmazottjának bejelentkezési adataival nem várt mennyiségű vendég adataihoz lehetett hozzáférni. Úgy gondoljuk, hogy a hackertámadás valamikor 2020. január közepén kezdődhetett. A tevékenység felfedezéskor a bejelentkezési adatokat letiltottuk, azonnal nyomozást indítottunk és erőforrásainkat átszervezve értesítettük a vendégeket és segítséget nyújtottunk nekik.”
Az esemény során olyan fontos adatok kerültek ki, mint a vendégek elérhetőségei (név, levelezési cím, e-mail cím és telefonszám), a hűségprogramhoz kapcsolódó adatok (számlaszám és pontszám egyenleg) és olyan információk is, mint például születési idő, szoba preferencia és nyelvi preferencia.
A vendéglátó óriás szerint az esemény kivizsgálása folyamatban van, arra viszont nincs még bizonyíték, hogy a Marriott Bonvoy számlák jelszavai, PIN-kódjai, illetve bankkártya, útlevél és személyi igazolvány adatok is nyilvánosságra kerültek volna.
Önellenőrzést kérnek a vendégektől is
A Marriott emellett egy önkiszolgáló online portált is elindított a vendégek számára. Itt személyesen ellenőrizhetik le azt, hogy személyes adataik szerepelnek-e a kikerült adatok között. Ezenkívül az érintett felhasználók számára lehetőséget kínál a szállodalánc arra, hogy 1 évig ingyenesen szerepeljenek a személyes adatokat megfigyelő szolgáltatásban, az IdentityWorks-ben.
Nem ez az első eset, hogy a nagy szállodalánc vendég adatbázisa kiszivárog. A Starwood Hotels vendégfoglalási nyilvántartása 2014-ben hasonló sorsra jutott. Akkor 339 millió vendég személyes adatait fedték fel. Az esemény viszont csak 2018. novemberében derült ki, amikor már a Marriott lánc tulajdonában volt. A szállodaláncnak 123 millió dollárt kellett fizetnie az Egyesült Királyság adatvédelmi szabályozó információs biztosának a GDPR törvény megsértése miatt.
Az esemény azért is aggasztó, hiszen úgy tűnik a vállalat a korábbi támadásból nem tanult semmit. Az ESET kiberbiztonsági szakértője azt nyilatkozta a támadással kapcsolatban, hogy „ritkán esik meg az, hogy a támadók másodszor is sikeresen beszivárogjanak egy adott vállalat rendszerébe. Az áldozatok egy ilyen után egy underground baleklistára kerülnek, de az csak újabb szégyen, ha a támadók újra lecsapnak. Ez csak újabb sót dörzsöl a friss sebre.”