La ICO (Information Commissioner’s Office) ha sancionado a Marriott International Inc. Por no mantener seguros los datos personales de millones de clientes.
Se estima que 339 millones de registros de huéspedes en todo el mundo se vieron afectados después de un ciberataque en 2014 contra Starwood Hotels and Resorts Worldwide Inc. de una fuente desconocida y que permaneció sin ser detectado hasta septiembre de 2018, momento en el que la compañía fue adquirida por Marriott.
Los datos personales afectados incluían nombres, direcciones de correo electrónico, números de teléfono, números de pasaporte no cifrados, información de llegadas/salidas, estado VIP de los huéspedes y el número de miembro del programa de fidelización.
La investigación llevada a cabo por la ICO descubrió que Marriott no implementó las medidas técnicas y organizativas adecuadas para proteger los datos personales que se trataban en sus sistemas, según exige el RGPD. La Comisionada de información, Elizabeth Denham, ha manifestado “los datos personales son valiosos y las empresas deben cuidarlos. Millones de datos de personas se vieron afectados por el fallo de Marriott; miles comunicaron con una línea de ayuda y es posible que otros hayan tenido que tomar medidas para proteger sus datos personales porque la empresa en la que confiaban no lo había hecho”. “Cuando una empresa no cuida los datos de los clientes, el impacto no es sólo una posible multa, lo que más importa son los interesados cuyos datos tenían el deber de proteger” ha argumentado la Comisionada de información.
El atacante, cuya procedencia se desconoce, instaló un fragmente de código conocido como “web shell” en un dispositivo del sistema Starwood, lo que le dio la capacidad de acceder y editar el contenido de este dispositivo de forma remota. Dicho acceso fue aprovechado por el atacante para instalar un malware que le permitió tener acceso remoto al sistema como usuario privilegiado, teniendo acceso sin restricciones a varios dispositivos en la red y pudiendo instalar herramientas para recopilar credenciales de inicio de sesión para usuarios de la red Starwood, exportando la base de datos que almacenaba los datos de reserva para los clientes de Starwood.
La ICO reconoce que Marriott actuó rápidamente para comunicarse tanto con los clientes como con la ICO e intentó mitigar el riesgo de los daños sufridos por los clientes y desde entonces ha impulsado una serie de medidas para mejorar la seguridad de sus sistemas.
Link a la resolución:
https://ico.org.uk/media/action-weve-taken/mpns/2618524/marriott-international-inc-mpn-20201030.pdf