Международная сеть отелей Marriott сообщила об утечке данных 5,2 млн своих клиентов. Утечка является уже вторым по счету серьезным инцидентом безопасности, затронувшим Marriott за последние несколько лет.
«В конце февраля 2020 года мы обнаружили, что с помощью учетных данных двух сотрудников нашей франшизы неизвестные могли получить доступ к неожиданному количеству информации наших гостей», — говорится в уведомлении Marriott.
Как считают в компании, атака началась в середине января текущего года. После выявления инцидента скомпрометированные учетные данные сотрудников были незамедлительно заблокированы. Руководство сети инициировало расследование, усилило мониторинг сетей и организовало процедуру извещения затронутых граждан.
В ходе атаки злоумышленники похитили имена и даты рождения постояльцев, их контактные данные (электронные и почтовые адреса, телефонные номера), сведения о гендерной принадлежности, номера и баланс счетов, а также информацию о предпочитаемых комнатах и языках общения. Расследование все еще проводится, однако нет никаких свидетельств того, что злоумышленники могли похитить данные банковских карт, пароли и PIN-коды участников программы лояльности Marriott Bonvoy, данные паспортов, удостоверений личности и водительских прав.
Компания Marriott запустила online-портал, позволяющий постояльцам проверить, была ли скомпрометирована их информация и какая именно. Кроме того, она предлагает затронутым клиентам один год бесплатного пользования сервисом мониторинга персональной информации IdentityWorks.
Затронутые течкой пароли участников программы лояльности Marriott Bonvoy уже деактивированы. При следующей попытке авторизации им будет предложено сменить пароль и включить двухфакторную аутентификацию.
Напомним, в 2014 году киберпреступники скомпрометировали систему регистрации постояльцев отелей компании Starwood Hotels, приобретенной Marriott в 2016 году. Утечка, затронувшая несколько сотен миллионов человек, в течение нескольких лет оставалась необнаруженной. Marriott узнала о произошедшем только в ноябре 2018 года и была оштрафована на £99 млн ($123 млн) Управлением комиссара по информации Великобритании за нарушение «Общего регламента по защите данных» (GDPR).