В ноябре 2018 года Marriott International пострадала от одной из самых крупных утечек данных за все время. В то время, когда произошло нарушение, предполагается, что число украденных записей составило 500 миллионов (позже это число было снижено до 339 миллионов), что по-прежнему является значительным объемом персональных данных.

Личная информация, украденная в результате этого нарушения, была взломана неизвестными третьими лицами, которые сумели получить доступ к данным клиентов, зарегистрированных в сети компании с 2014 года. Информация, скопированная кибер-преступниками, включала в себя имена, домашние адреса, номера телефонов, адреса электронной почты, номера паспортов, счета, даты рождения, пол и данные о регистрации заезда и выезда из отелей. Некоторые записи также содержали зашифрованную информацию о платежных картах.

В результате этого нарушения данных в июле 2019 года Британское Управление по защите данных (ICO) оштрафовало данную крупную гостиничную сеть на 99 миллионов фунтов стерлингов (примерно 110 миллионов евро) в соответствии с европейским законодательством о защите персональных данных (GDPR).

Новая утечка данных в Marriott International

В довершение ко всему, в конце марта компания Marriott International объявила, что потерпела еще одно нарушение данных. Этот инцидент был обнаружен в середине февраля, и предполагается, что в результате этой второй утечки данных пострадала персональная информация, принадлежавшая примерно 5,2 миллионам гостей данной гостиничной сети.

Компания опубликовала заявление, в котором объяснялось, что «в конце февраля 2020 года мы заметили, что непредусмотренный объем информации о гостях может быть получен с использованием учетных данных двух сотрудников франчайзинговой компании».

«Мы считаем, что эта активность началась в середине января 2020 года. После обнаружения мы немедленно обеспечили отключение этих учетных данных, начали расследование, внедрили усиленный мониторинг и выделили ресурсы для информирования и оказания помощи гостям».

Украденная информация

Расследование этого инцидента продолжается, но компания Marriott заявляет, что «нет никаких оснований полагать, что эта информация включала в себя пароли учетных записей или пин-коды Marriott Bonvoy, информацию о платежных картах, паспортные данные, национальные удостоверения личности или номера водительских прав».

В компании пояснили, что среди украденной информации есть имена, домашние адреса и адреса электронной почты, номера телефонов, даты рождения и информация о предпочтениях гостей в отелях.

Чтобы помочь тем, кто пострадал от утечки данных, Marriott создала портал, на котором каждый клиент может проверить, была ли его информация украдена и какие категории данных могли пострадать. Пароли для аккаунтов Marriott Bonvoy, которые могли пострадать, были сброшены. Более того, при следующем использовании этих учетных записей их владельцам будет предложено включить многофакторную аутентификацию. Компания также предлагает пострадавшим годовую подписку на услугу мониторинга персональных данных.

Штрафы GDPR

С тех пор как в мае 2018 года этот закон вступил в силу в Евросоюзе, более 250 организаций были подвергнуты санкциям в соответствии с требованиями GDPR. Штраф, полученный Marriott в прошлом году, является вторым по величине на сегодняшний день, а рекорд принадлежит авиакомпании British Airways, которая была оштрафована на 183 миллиона фунтов стерлингов (204 600 000 евро). 2019 год был годом многомиллионных штрафов, выписанных в соответствии с новыми европейскими правилами по защите персональных данных: шесть компаний получили штрафы в размере более одного миллиона евро за несоблюдение требований GDPR.

Как избежать утечек данных

Этот случай с утечкой данных снова демонстрирует всю важность строгого контроля за регистрационными данными, которые мы используем. Пароли должны быть надежными, и очень важно регулярно их менять. Кроме того, даже несмотря на то, что это не гарантирует 100% надежность, все же рекомендуется использовать многофакторную аутентификацию, которая позволяет добавить еще один уровень защиты для регистрационных данных.

Еще одной важной мерой защиты персональных данных, хранящихся в вашей компании, является всесторонний контроль над ними. Для достижения этой цели решение Panda Adaptive Defense имеет дополнительный модуль Panda Data Control, который находит, проверяет и контролирует неструктурированные персональные данные на компьютерах компании: от данных в состоянии покоя до данных в процессе использования и перемещении. Таким образом, если кто-то попытается совершить какое-либо действие с этими персональными данными или попытается украсть их, вы получите уведомление.

После взлома данных в 2018 году компания Marriott повысила свои меры безопасности, чтобы бороться с утечками данных и предотвращать их потерю. Однако это второе нарушение данных очень ясно показывает, что только самые строгие меры необходимы для того, чтобы избежать такого рода инциденты.