De Britse privacytoezichthouder ICO is voornemens om hotelketen Marriott een boete van omgerekend 110 miljoen euro op te leggen wegens een datalek waarbij de gegevens van 339 miljoen gasten werden gestolen, waarvan 30 miljoen inwoners van de Europese Economische Ruimte.
De aanvallers zouden systemen van de Starwood-hotelgroep in 2014 hebben gecompromitteerd. Twee jaar later werd Starwood door Marriott overgenomen. De diefstal van klantgegevens werd pas in 2018 ontdekt. Volgens de ICO heeft Marriott geen grondig onderzoek uitgevoerd toen het Starwood overnam en had het meer moeten doen om de systemen te beveiligen.
"De AVG maakt het duidelijk dat organisaties aansprakelijk moeten worden gehouden voor de persoonlijke gegevens die ze hebben. Het kan dan gaan om het uitvoeren van een grondig onderzoek als er een overname plaatsvindt en het nemen van adequate maatregelen om niet alleen te bepalen welke persoonlijke data is verkregen, maar ook hoe het is beveiligd", zegt de Britse Informatiecommissaris Elizabeth Denham.
Na de overname mochten de Starwoord-hotels het eigen reserveringssysteem blijven gebruiken. Op den duur zou erop het systeem van Marriott worden overgestapt. Starwood maakte gebruik van een beveiligingssysteem voor databases. Dit systeem genereerde op 7 september 2018 een waarschuwing nadat een verdachte query was ontdekt. De query was afkomstig van het account van een systeembeheerder.
Verder onderzoek wees uit dat de eigenaar van het account niet de query had uitgevoerd. Hierop werd een groter onderzoek ingesteld, wat op 17 september tot de ontdekking van een remote access trojan (RAT) leidde. Op sommige systemen vonden onderzoekers sporen van malware, alsmede Mimikatz, een tool waarmee aanvallers inloggegevens stelen.
Tevens bleek dat de aanvallers twee versleutelde archiefbestanden hadden aangemaakt. Onderzoekers wisten de bestanden te ontsleutelen en zagen dat die een tabel met klantgegevens van de reserveringsdatabase bevatten. Uiteindelijk bleek dat de gegevens van 339 miljoen gasten waren buitgemaakt, waaronder 18,5 miljoen versleutelde paspoortnummers en 5,25 miljoen onversleutelde paspoortnummers en duizenden onversleutelde creditcardnummers.
Marriott kan nog beroep aantekenen. Gisteren liet de ICO al weten dat het van plan is om British Airways een boete van omgerekend 200 miljoen euro wegens een datalek op te leggen. De luchtvaartmaatschappij meldde daarop dat het in beroep ging.
Deze posting is gelocked. Reageren is niet meer mogelijk.