Marriott International acordó respaldar 52 millones de dólares y realizar cambios para alentar la seguridad de sus datos para resolver reclamos estatales y federales relacionados con importantes violaciones de datos que afectaron a más de 300 millones de sus clientes en todo el mundo.
La Comisión Federal de Comercio y un clan de fiscales generales de 49 estados y el Distrito de Columbia anunciaron el miércoles los términos de acuerdos separados con Marriott. La FTC y los estados llevaron a promontorio investigaciones paralelas sobre tres violaciones de datos que tuvieron extensión entre 2014 y 2020.
Como resultado de las violaciones de datos, “actores malintencionados” obtuvieron información de pasaportes, números de tarjetas de cuota, números de fidelidad, fechas de salida, direcciones de correo electrónico y/o información personal de cientos de millones de consumidores, según la denuncia propuesta por la FTC.
La FTC afirmó que las malas prácticas de seguridad de datos de Marriott y su filial Starwood Hotels & Resorts Worldwide provocaron las violaciones.
Específicamente, la agencia alegó que el cirujano del hotel no aseguró su sistema informático con controles de contraseña adecuados, monitoreo de red u otras prácticas para proteger los datos.
Como parte de su propuesta de acuerdo con la FTC, Marriott acordó “implementar un sólido software de seguridad de la información” y ocuparse a todos sus clientes estadounidenses una forma de solicitar que se elimine cualquier información personal asociada con su dirección de correo electrónico o número de cuenta de recompensas de fidelidad.
Marriott igualmente resolvió demandas similares presentadas por el clan de fiscales generales. Encima de aceptar acorazar sus prácticas de seguridad de datos, el cirujano hotelero igualmente pagará una multa de 52 millones de dólares que se dividirá entre los estados.
En una explicación en su sitio web el miércoles, Marriott, con sede en Bethesda, Maryland, señaló que no admitió responsabilidad como parte de sus acuerdos con la FTC y los estados. Incluso dijo que ya ha implementado mejoras en la privacidad de los datos y la seguridad de la información.
A principios de 2020, Marriott notó que se accedía a una cantidad inesperada de información de los huéspedes utilizando las credenciales de inicio de sesión de dos empleados de una propiedad franquiciada. En ese momento, la empresa estimó que los datos personales de aproximadamente del 5,2. Millones de huéspedes en todo el mundo podrían haberse trillado afectados.
En noviembre de 2018, Marriott anunció una filtración masiva de datos en la que los piratas informáticos accedieron a información de hasta 383 millones de huéspedes. En ese caso, Marriott dijo que se accedió a números de pasaporte no cifrados de al menos 5,25 millones de huéspedes, así como a información de tarjetas de crédito de 8,6 millones de huéspedes. Las marcas de hoteles afectadas eran operadas por Starwood antiguamente de que Marriott las adquiriera en 2016.
El FBI dirigió la investigación de ese robo de datos y los investigadores sospecharon que los piratas informáticos trabajaban en nombre del Servicio de Seguridad del Estado de China, el equivalente contiguo de la CIA.