Starwood Guest Reservation Database Security Incident

03/12/2018

Dit recent incident bij Marriott Hotels illustreert opnieuw het belang om met persoonlijke gegevens voorzichtig te zijn en de nodige maatregelen en procedures te installeren om deze gegevens te beschermen. We kunnen niet voldoende de nadruk leggen op het belang om de GDPR regulering ernstig te nemen en correct in te voeren.

Marriott Hotels & Resort is een hotelketen dat sinds 1957 uit gegroeid is tot een wereldleider in het hotelwezen.
De oprichters J. Willard Marriott en zijn vrouw startte in 1927 met een A&W root beer stand. Samen bouwden zij een restaurantketen uit de Hot Shoppes-restaurant onder het moto, Good food and good service at a fair price. In 1957 maakte J. Willard Marriott de shift naar het hotelwezen en bouwde een wereldbedrijf uit in deze sector. Op de dag van vandaag is de voorzitter van de raad van bestuur J.W. Marriott, jr.

De hoofdvestiging is gesitueerd in Bethesda, Maryland, Verenigde Staten, en het bedrijf heeft een jaaromzet van 22,89 miljard USD (2017)

Op 8 september 2018 ontving Marriott een waarschuwing van een intern beveiligingsprogramma met de melding van een inbraakpoging tot de Starwood-reserveringsdatabase. Marriott nam snel maatregelen om samen met beveiligingsexperts te bepalen wat er gebeurde. Marriott heeft tijdens het onderzoek ondekt dat er ongeautoriseerde toegang was tot het Starwood-netwerk sinds 2014. Tevens werd ook vastgesteld dat onlangs een ongeoorloofde partij informatie had gekopieerd en gecodeerd en dat er een procedure was geïnstalleerd om deze info te verwijderen. Op 19 november 2018 kon Marriott deze informatie decoderen en bepalen dat de inhoud afkomstig was uit de Starwood-reserveringsdatabase.

Op dit ogenblik is Marriott nog niet klaar met het identificeren van de dubbele informatie in de database, maar men denkt dat ongeveer meer dan 500 miljoen gasten die een reservering bij Starwood hebben gemaakt hun gegevens zijn gestolen. Voor ongeveer 327 miljoen van deze gasten bevat de informatie een combinatie van naam, postadres, telefoonnummer, e-mailadres, paspoortnummer, Starwood Preferred Guest (“SPG”) accountinformatie, geboortedatum, geslacht, aankomst- en vertrekinformatie, reserveringsdatum en communicatievoorkeuren. Voor sommigen omvat de informatie ook betaalkaartnummers en vervaldata van de betaalkaart, maar de betaalkaartnummers werden versleuteld met behulp van Advanced Encryption Standard-codering (AES-128). Er zijn twee componenten nodig om de betaalkaartnummers te decoderen en Marriott heeft op dit moment nog niet kunnen uitsluiten dat beiden zijn genomen. Voor de overige gasten was de informatie beperkt tot naam en soms andere gegevens zoals postadres, e-mailadres of andere informatie. Marriott meldde dit incident aan de politie en blijft hun onderzoek ondersteunen en is al begonnen regelgevende instanties op de hoogte te stellen.

-bron: Kroll®, A Division Duff & Phelps

U kunt Hemera Consulting bereiken voor vrijblijvend advies per telefoon 011/71 11 17 via email info@hemeraconsulting.be en ons contactformulier.

Vind je dit artikel interessant voor anderen? Deel het via de sociale mediaknoppen hieronder.