The world's largest hotel chain, Marriott
International, revealed today that unknown hackers compromised
the reservation database of its subsidiary Starwood hotels and
stole personal details of around 500 millions of guests.
Starwood Hotels and Resorts Worldwide was acquired by
Marriott International for 13 billion dollars 2016. The brand includes
St. Regis, Sheraton Hotels & Resorts, W Hotels, Westin Hotels &
Resorts, Aloft Hotels, Tribute Portfolio, Element Hotels, Le Méridien Hotels
& Resorts, The Luxury Collection, Four Points by Sheraton and Design Hotels.
The incident is believed to be one of the largest data breaches in
history, behind Yahoo's hacking in 2016 which almost 3 a billion accounts were stolen
millions of user accounts.
The breach of data owned by Starwood has been
happening since 2014 after certain individuals managed to gain unauthorized access
to the Starwood reservation database and copied and
encrypted the information.
Marriott discovered the breach on 8 in September of this year
after receiving an alert from an internal security tool regarding
an attempted access to the Starwood reservation database on
United States.
The 19 November, the investigation into the incident
revealed that there was unauthorized access to the database, which contains information
about guests related to Starwood reservations on 10 September
of 2018 or before.
The stolen hotel database contains
confidential personal information of nearly 327 millions of guests, including their names,
email addresses, phone numbers, email addresses,
números de pasaportes, Dates of birth, sexo, información de llegada y
salida, fecha de reserva y preferencias de comunicación.
Aún más alarmante es que, de algunos usuarios, The data
robados también incluyen números de tarjetas de pago y fechas de vencimiento de
las tarjetas de pago. However, según Marriott: “los números de las
tarjetas de pago se cifraron utilizando el cifrado estándar de cifrado avanzado
(AES-128)”. Los atacantes necesitan dos componentes para descifrar los
números de las tarjetas de pago, pero Marriott no ha podido descartar la
posibilidad de que hayan tomado ambos.
Marriott confirmó que su investigación sobre el incidente
solo identificó el acceso no autorizado a la red de Starwood separada y no a la
red de Marriott. También ha comenzado a informar a los clientes potencialmente
afectados del incidente de seguridad. La compañía hotelera notificó a las autoridades reguladoras
y también a la policía el incidente y continúa apoyando su investigación.
Debido a que la violación de datos está sujeta al Reglamento
General de Protección de Datos (GDPR) of the European Union, Marriott podría
enfrentarse a una multa máxima de más de 19 million euros or the 4 por ciento de
sus ingresos globales anuales, el que sea mayor.