De Amerikaanse toezichthouder FTC heeft hotelketen Marriott opgedragen een uitgebreid beveiligingsplan te implementeren, omdat het bij drie grote datalekken de gegevens van 344 miljoen gasten wereldwijd lekte. Volgens de FTC hebben Marriott en dochteronderneming Starwood klanten misleid door te beweren dat de beveiliging goed geregeld was, terwijl 'redelijke security' om de persoonlijke informatie van gasten te beschermen ontbrak.

Het wachtwoordbeleid, toegangsbeleid, firewallbeleid, netwerksegmentatie, patchbeleid, logging, monitoring en gebruik van multifactorauthenticatie schoten allemaal tekort. Dit maakte het mogelijk voor aanvallers om in zeker drie gevallen creditcardgegevens, paspoortinformatie, geboortedatum, e-mailadressen en andere persoonlijke informatie van honderden miljoenen gasten te stelen.

Het grootste datalek van de drie deed zich voor in juli 2014. Aanvallers gingen er toen vandoor met de gegevens van 339 miljoen gasten, waaronder 5,25 miljoen onversleutelde paspoortnummers. De datadiefstal werd pas ruim vier jaar later in september 2018 opgemerkt. Als onderdeel van een schikking moeten Marriott en Starwood een 'uitgebreid informatiebeveiligingsprogramma' uitrollen om de persoonlijke informatie van gasten te beschermen.

Daarnaast moet persoonlijke informatie alleen worden bewaard zolang dat noodzakelijk is. Ook moeten gasten op eenvoudige wijze hun gegevens bij de hotelketens kunnen laten verwijderen. Verder mogen Marriott en Starwood geen onjuiste voorstelling van zaken geven met betrekking tot het verzamelen, gebruiken, verwijderen of delen van persoonlijke gastinformatie en hoe deze gegevens worden beveiligd.