Hotelketen Marriott heeft in de Verenigde Staten drie grote datalekken, waarbij gegevens van meer dan 344 miljoen gasten wereldwijd werden gestolen, voor een bedrag van 52 miljoen dollar geschikt. Daarnaast moet het bedrijf verschillende beveiligingsmaatregelen doorvoeren en kunnen Amerikaanse klanten hun gegevens laten verwijderen. De datalekken bij de hotelketen deden zich voor tussen 2014 en 2020.

Volgens de Amerikaanse toezichthouder FTC was er van alles mis met de it-beveiliging van Mariott. Het wachtwoordbeleid, toegangsbeleid, firewallbeleid, netwerksegmentatie, patchbeleid, logging, monitoring en gebruik van multifactorauthenticatie schoten allemaal tekort. Dit maakte het mogelijk voor aanvallers om in zeker drie gevallen creditcardgegevens, paspoortinformatie, geboortedatum, e-mailadressen en andere persoonlijke informatie van honderden miljoenen gasten te stelen.

Het grootste datalek van de drie deed zich voor in juli 2014. Aanvallers gingen er toen vandoor met de gegevens van 339 miljoen gasten, waaronder 5,25 miljoen onversleutelde paspoortnummers. De datadiefstal werd pas ruim vier jaar later in september 2018 opgemerkt. Marriott heeft nu twee schikkingen in de VS getroffen. In een schikking met Amerikaanse staten betaalt de hotelketen een bedrag van 52 miljoen dollar.

De tweede schikking is met de FTC gesloten en bestaat uit het implementeren van een uitgebreid it-beveiligingsprogramma. Ook moet de hotelketen dataminimalisatie toepassen, zodat gegevens alleen worden bewaard zolang ze nodig zijn. Tevens moet het bedrijf Amerikaanse klanten een optie bieden om persoonlijke informatie te verwijderen.