La cadena hotelera internacional Marriott reveló hoy una violación de datos que afectó a casi 5,2 millones de huéspedes del hotel, lo que lo convierte en el segundo incidente de seguridad que afecta a la empresa en los últimos años.
«A fines de febrero de 2020, identificamos que se pudo haber accedido a una cantidad inesperada de información de los huéspedes utilizando las credenciales de inicio de sesión de dos empleados en una propiedad de franquicia», dijo Marriott en un comunicado.
«Creemos que esta actividad comenzó a mediados de enero de 2020. Tras el descubrimiento, confirmamos que las credenciales de inicio de sesión estaban deshabilitadas, comenzamos de inmediato una investigación, implementamos un mayor monitoreo y organizamos recursos para informar y ayudar a los huéspedes».
El incidente expuso la información personal de los huéspedes, como detalles de contacto (nombre, dirección postal, dirección de correo electrónico y número de teléfono), información de la cuenta de fidelización (número de cuenta y saldo de puntos) e información adicional como empresa, género, fechas de nacimiento, habitación. preferencias y preferencias de idioma.
El gigante de la hospitalidad dijo que se estaba llevando a cabo una investigación sobre la violación, pero dijo que no había evidencia de que las contraseñas o PIN de la cuenta de Marriott Bonvoy, la información de la tarjeta de pago, la información del pasaporte, las identificaciones nacionales o los números de licencia de conducir estuvieran comprometidos.
Marriott también ha creado un portal en línea de autoservicio para que los huéspedes verifiquen si sus datos personales estuvieron involucrados en la violación y qué categorías de información quedaron expuestas. Además, ofrece a los usuarios afectados la opción de inscribirse en IdentityWorks, un servicio de monitoreo de información personal, sin cargo durante 1 año.
La compañía ya tomó la medida de deshabilitar las contraseñas de los miembros de Marriott Bonvoy cuya información estuvo potencialmente expuesta en el incidente, y se les notificará que cambien sus contraseñas durante el próximo inicio de sesión, y se les pedirá que habiliten la autenticación multifactor.
El incidente sigue a un compromiso de 2014 de la base de datos de reservas de huéspedes de Starwood Hotels, que fue adquirida por Marriott en 2016. La violación, que expuso detalles personales de más de 339 millones de huéspedes en todo el mundo, no se detectó hasta noviembre de 2018, lo que llevó a pagar una multa de £ 99 millones ($ 123 millones) para el regulador de privacidad de datos del Reino Unido, la Oficina del Comisionado de Información bajo las leyes GDPR.
«El tipo de información divulgada en la última filtración de Marriott puede parecer inocua, pero es precisamente este tipo de inteligencia lo que permite a los actores de amenazas atacar mejor a los consumidores», dijo Gerrit Lansing, CTO de campo de STEALTHbits, a The Hacker News por correo electrónico hoy.
«Simplemente: cuanto más sepa sobre usted, más posibilidades tengo de engañarlo. Las credenciales comprometidas siguen siendo uno de los principales vectores para este tipo de compromiso, y la autenticación sólida antes de acceder a información confidencial es una de las mejores defensas».
