Registros de 500 millones de clientes del grupo hotelero Marriott se vieron comprometidos en la violación de datos
La cadena de hoteles Marriott International ha revelado que la base de datos de reservaciones de su división Starwood había sido comprometida por terceros no autorizados. Acorde a una investigación interna de especialistas en forense digital, un atacante había conseguido acceso a la red de Starwood desde 2014.
Marriot International afirma que se encuentra notificando a los clientes registrados en la base de datos comprometida.
Starwood fue absorbida por Marriot el año 2016, con lo que se consolidó como la cadena de hoteles más grande del mundo, contando con más de 5 mil 800 establecimientos a nivel global. Las división Starwood incluye marcas como W Hotels, Sheraton, Le Méridien y Four Points by Sheraton. Los hoteles de la marca Marriott utilizan un sistema de reservaciones por separado en una red diferente a la del resto de las marcas de su propiedad.
Marriott dijo que su equipo de forense digital interno detectó que un tercero trataba de acceder a la base de datos de Starwood. Al continuar con su investigación, la empresa descubrió que “un actor no autorizado copió y encriptó al información”.
Acorde a estimaciones de la empresa, la base de datos comprometida contiene registros de hasta 500 millones de clientes, de los cuales, alrededor de 320 millones de registros incluían información como nombre del cliente, dirección, números de teléfono, dirección email, número de pasaporte e información de la cuenta del usuario.
En algunos casos, los registros del cliente también incluían información cifrada sobre tarjetas de pago, aunque todavía no es desestimada la posibilidad de que las claves de cifrado hayan sido robadas también.
“Lamentamos profundamente este incidente. Marriott ya ha dado parte a las autoridades y continuará colaborando en la investigación”, menciona un comunicado de la empresa.
La compañía ha creado un sitio web para atender las inquietudes de los usuarios preocupados por el estatus de su información personal. Acorde a expertos en forense digital, la empresa ofrecerá a los clientes afectados un año de servicio de protección anti fraude gratuito.
Por su parte, la Oficina del Comisionado de Información (ICO) de Reino Unido declaró: “Recibimos un informe de violación de datos de Marriott que involucra a su marca Starwood. Si algún usuario tiene dudas sobre el tratamiento que la empresa ha dado a sus datos personales, puede acudir a la ICO”.
Aunque esta no es la violación de datos más grande conocida, sí está entre las peores. Los atacantes no sólo accedieron y copiaron 500 millones de registros, sino que permanecieron en los sistemas de Starwood por casi tres años. Y, a pesar de que la información de las tarjetas de pago estaba encriptada, especialistas en forense digital del Instituto Internacional de Seguridad Cibernética no descartan que las claves también hayan sido robadas.
Aunque la sede principal de Marriott está en EU, el grupo hotelero debe cumplir con el Reglamento General de Protección de Datos (GDPR) de la UE, pues la empresa trabaja con la información personal de ciudadanos de la comunidad europea. Por lo que, a pesar de que el incidente está siendo investigado por la ICO en Reino Unido, la empresa podría ser penalizada acorde a lo establecido por el GDPR.
Además, este incidente podría provocar la propagación de campañas de phishing o extorsión gracias a la información comprometida, por lo que los problemas para la cadena hotelera apenas comienzan. Por su parte, Marriott dice que no enviará ningún correo electrónico de notificación con archivos adjuntos, además de que no solicitará ninguna información de sus clientes por esta vía.
No comments:
Post a Comment