image

Marriott krijgt boete van 20,4 miljoen euro wegens datalek

vrijdag 30 oktober 2020, 11:31 door Redactie, 8 reacties

De Britse privacytoezichthouder ICO heeft hotelketen Marriott een boete van omgerekend 20,4 miljoen euro opgelegd wegens een datalek waarbij de gegevens van 339 miljoen klanten werden gestolen. Volgens de ICO had Marriott onvoldoende maatregelen getroffen om de gegevens van klanten te beschermen.

Aanvallers wisten in 2014 systemen van de Starwood-hotelgroep door een onbekende aanvalsvector te compromitteren. Er werd een webshell op het systeem van Starwood geïnstalleerd. Een webshell is kwaadaardige code die door aanvallers op webservers wordt geplaatst. Via de webshell kan een aanvaller de server op afstand benaderen en allerlei code en commando's uitvoeren. In het geval van Starwood werd de webshell gebruikt voor de installatie van malware.

In 2016 werd Starwood door Marriott overgenomen. Na de overname mochten de Starwoord-hotels het eigen reserveringssysteem blijven gebruiken. Op den duur zou erop het systeem van Marriott worden overgestapt. Starwood maakte gebruik van een beveiligingssysteem voor databases. Dit systeem genereerde op 7 september 2018 een waarschuwing nadat een verdachte query was ontdekt. De query was afkomstig van het account van een systeembeheerder.

Verder onderzoek wees uit dat de eigenaar van het account niet de query had uitgevoerd. Hierop werd een groter onderzoek ingesteld, wat op 17 september tot de ontdekking van een remote access trojan (RAT) leidde. Op sommige systemen vonden onderzoekers sporen van malware, alsmede Mimikatz, een tool waarmee aanvallers inloggegevens stelen.

Tevens bleek dat de aanvallers twee versleutelde archiefbestanden hadden aangemaakt. Onderzoekers wisten de bestanden te ontsleutelen en zagen dat die een tabel met klantgegevens van de reserveringsdatabase bevatten. Uiteindelijk bleek dat de gegevens van 339 miljoen gasten waren buitgemaakt, waaronder 18,5 miljoen versleutelde paspoortnummers en 5,25 miljoen onversleutelde paspoortnummers en duizenden onversleutelde creditcardnummers.

Volgens de ICO heeft Marriott geen grondig onderzoek uitgevoerd toen het Starwood overnam en had het meer moeten doen om de systemen te beveiligen. Hoewel de aanval in 2014 plaatsvond geldt de boete voor het datalek dat in 2018 werd ontdekt toen de AVG van kracht was. Omdat het datalek zich voordeed voordat het VK de Europese Unie verliet heeft de ICO het onderzoek voor alle Europese privacytoezichthouders uitgevoerd. Alle toezichthouders hebben de boete goedgekeurd. De ICO was voornemens om Marriott een boete van 110 miljoen euro op te leggen. Vanwege de maatregelen die Marriott heeft genomen en de gevolgen van de coronacrisis is de boete op 18,4 miljoen euro uitgekomen.

Reacties (8)
30-10-2020, 11:50 door Anoniem
duizenden onversleutelde creditcardnummers

Ja dat is natuurlijk vragen om problemen. Deze gegevens bewaren en opslaan is totaal onzin.

In hotels wordt er bij aankomst een betalingsmogelijkheid of claim gedaan. Hierdoor heeft het hotel de garantie van de creditcard maatschappij om niet alleen de betaling van de kamer in rekening te brengen, maar ook eventuele schade die de gasten achterlaten. Bij normaal gebruik van de kamer wordt achteraf slechts de kamerhuur afgeschreven.
30-10-2020, 12:07 door Anoniem
En waar gaat het geld naar toe?
Waarschijnlijk niet naar de slachtoffers.
Het zou overigens 0,06 Euro per klant zijn. Het laat zien wat je persoonsgegevens waard zijn in de ogen van de privacy toezichthouders. Zelfs indien de boete 110 miljoen zou zijn, dan bedraagt de boete 0,32 Euro per klant
30-10-2020, 12:57 door Anoniem
Door Anoniem: En waar gaat het geld naar toe?
Waarschijnlijk niet naar de slachtoffers.
Het zou overigens 0,06 Euro per klant zijn. Het laat zien wat je persoonsgegevens waard zijn in de ogen van de privacy toezichthouders. Zelfs indien de boete 110 miljoen zou zijn, dan bedraagt de boete 0,32 Euro per klant

Eens. Dit is belangrijk omdat de winst per klant veel hoger is dan 0,06 Euro of 0,32 Euro. Echt pijn kan het dus niet doen en dus is er geen sterke prikkel om fundamenteel te verbeteren.

Ook de potentiële schade is veel hoger. Als mij was gevraagd of ik voor 6 cent mijn gegevens op het internet wil gooien dan is het antwoord natuurlijk *nee*.
30-10-2020, 13:49 door Anoniem
Door Anoniem:
Door Anoniem: En waar gaat het geld naar toe?
Waarschijnlijk niet naar de slachtoffers.
Het zou overigens 0,06 Euro per klant zijn. Het laat zien wat je persoonsgegevens waard zijn in de ogen van de privacy toezichthouders. Zelfs indien de boete 110 miljoen zou zijn, dan bedraagt de boete 0,32 Euro per klant

Eens. Dit is belangrijk omdat de winst per klant veel hoger is dan 0,06 Euro of 0,32 Euro. Echt pijn kan het dus niet doen en dus is er geen sterke prikkel om fundamenteel te verbeteren.

Ook de potentiële schade is veel hoger. Als mij was gevraagd of ik voor 6 cent mijn gegevens op het internet wil gooien dan is het antwoord natuurlijk *nee*.

Ik denk dat het belangrijk is om mee te nemen dat alleen de ICT-afdeling waarschijnlijk hiervan wist, mogelijk zelfs binnen de afdeling wisten slechts paar collega's deze configuratie. Het is dan onredelijk om de hele hotelketen hard te treffen; de andere 99% van de collega's doen wel integer en goed hun werk.
30-10-2020, 14:24 door -Peter-
Door Anoniem: En waar gaat het geld naar toe?
Waarschijnlijk niet naar de slachtoffers.
Het zou overigens 0,06 Euro per klant zijn. Het laat zien wat je persoonsgegevens waard zijn in de ogen van de privacy toezichthouders. Zelfs indien de boete 110 miljoen zou zijn, dan bedraagt de boete 0,32 Euro per klant

Boetes gaan nooit naar het slachtoffer. Maar een boete biedt de klant de mogelijkheid om zelf een schadevergoeding te claimen. Je staat dan sterker in een civielrechterlijke zaak.

Maar ook bij verkeersboetes wordt er niet gekeken naar de schade die een hardrijder veroorzaakt. Al zie ik wel steeds meer nut van de werkwijze in Finland en (in mindere mate) Zwitersland. Net als bij de AVG de boete afhankelijk maken van de winst of het vermogen van de dader. In Nederland zal dat lastig gaan met de AVG, maar een oplossing is om de boete een vast percentage te maken van de nieuwwaarde van de auto.

Peter
30-10-2020, 14:42 door Anoniem
Ik denk dat het belangrijk is om mee te nemen dat alleen de ICT-afdeling waarschijnlijk hiervan wist, mogelijk zelfs binnen de afdeling wisten slechts paar collega's deze configuratie. Het is dan onredelijk om de hele hotelketen hard te treffen; de andere 99% van de collega's doen wel integer en goed hun werk.

De reden van het datalek doet er eigenlijk niet toe. Dat de ene kant van het bedrijf niet weet wat de andere kant doet, is ook irrelevant. Het is één juridische entiteit en die hoort als zodanig te worden aangesproken.

Uiteindelijk denkt de aandeelhouder: Opbrengst 100 Euro per nacht, slecht georganiseerde ICT kost weinig en levert slechts de kans op een minieme boete... Vervolgens krijgt de directie een bonus voor "goed werk".
31-10-2020, 16:05 door Anoniem
De data van een klant is dus een cent of 6 waard blijkbaar. Zijn ze niet een paar nullen vergeten in die boete?
01-11-2020, 12:28 door Anoniem
Door Anoniem: Eens. Dit is belangrijk omdat de winst per klant veel hoger is dan 0,06 Euro of 0,32 Euro. Echt pijn kan het dus niet doen en dus is er geen sterke prikkel om fundamenteel te verbeteren.
Door Anoniem: Uiteindelijk denkt de aandeelhouder: Opbrengst 100 Euro per nacht, slecht georganiseerde ICT kost weinig en levert slechts de kans op een minieme boete... Vervolgens krijgt de directie een bonus voor "goed werk".
Stel nou dat management en aandeelhouders van Marriot er werkelijk zo over denken en geen donder doen om toekomstige gegevenslekken te voorkomen. Wat zou er dan bij de onvermijdelijke volgende gegevenslekken gebeuren? Volgens mij dit:
• Toezichthouders merken op dat Marriot kennelijk niets leert van eerdere fouten en zijn nu veel meer geneigd om boetes op te leggen die werkelijk pijn doen.
• Klanten lezen in de krant dat dat hun gegevens echt niet veilig zijn bij Marriot en gaan dan toch wat vaker rondkijken of er geen andere hotels te vinden zijn.
Dus als je een stapje verder kijkt dan het omrekenen van de boeten naar de kosten per klant kom je uit op iets waar management en aandeelhouders wel degelijk gevoelig voor zijn.

Het topmanagement van Marriot zal echt wel vooruit denken. Om een internationale hotelketen te leiden moet je wat meer vaardigheden hebben op dat vlak dan voor het friteskot om de hoek.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.