Marriott Hotels heeft een boete van £ 18,4 miljoen opgelegd voor een datalek dat miljoenen heeft getroffen

Marriott Hotels heeft een boete van £ 18,4 miljoen opgelegd voor datalek dat miljoenen heeft getroffenPublicatieduur34 minuten geledenimage copyrightEPA

De Britse waakhond voor gegevensprivacy heeft de Marriott Hotels-keten een boete van £ 18,4 miljoen opgelegd voor een grote datalek die mogelijk tot 339 miljoen gasten heeft getroffen.

De Information Commissioner’s Office (ICO) zei dat namen, contactgegevens en paspoortgegevens allemaal mogelijk zijn gecompromitteerd tijdens een cyberaanval.

De inbreuk omvatte zeven miljoen gastrecords voor mensen in het VK.

De ICO zei dat het bedrijf er niet in geslaagd was om passende voorzorgsmaatregelen te nemen, maar erkende dat het was verbeterd.

Het eerste deel van de cyberaanval vond plaats in 2014 en trof de Starwood Hotels-groep, die twee jaar later door Marriott werd overgenomen.

Maar tot 2018, toen het probleem voor het eerst werd opgemerkt, bleef de aanvaller toegang houden tot alle getroffen systemen, waaronder:

naam e-mailadressen telefoonnummers paspoortnummers aankomst- en vertrekinformatie VIP-status loyale programmanummers

Op basis daarvan zei de ICO dat Marriott de persoonlijke gegevens niet had beschermd zoals vereist door de Algemene Verordening Gegevensbescherming (AVG).

In sommige opzichten kun je medelijden hebben met Marriott.

In alle discussies in de bestuurskamer over de overname van Starwood door het bedrijf, wed ik dat het nooit besefte dat er al een hacker op de loer lag in de waardevolle databases die ze kochten.

De cybercriminelen zaten al jaren in de systemen en werden effectief in de fusieovereenkomst geworpen zonder dat Marriott daar een idee van had.

Hierin schuilt echter het probleem: het lijkt erop dat het grotere hotel niet heeft gecontroleerd wat het aan het kopen was.

Het ICO-rapport maakt duidelijk dat Marriott de beveiliging van de IT-systemen van Starwood veel te laat heeft verbeterd en dat de hackers vrij spel hadden om zich te verplaatsen en de gegevens te selecteren die het beste zouden verkopen op criminele fora.

De boete lijkt in niets op de £ 99 miljoen die de ICO van plan was uit te geven, maar het is nog steeds een enorm afschrikmiddel voor toekomstige bedrijven.

Het kan ervoor zorgen dat leidinggevenden die hun volgende grote fusies plannen, zorgvuldiger en voorzichtiger kijken naar de databases die ze gaan verwerven.

“De gegevens van miljoenen mensen werden beïnvloed door het falen van Marriott”, zei commissaris Elizabeth Denham.

“Duizenden namen contact op met een hulplijn en anderen moesten mogelijk actie ondernemen om hun persoonlijke gegevens te beschermen, omdat het bedrijf dat ze vertrouwden dat niet had gedaan.”

Verschillende soorten gegevens werden getoond voor verschillende gasten, en sommige van de naar schatting 339 miljoen waren mogelijk dubbele records voor terugkerende gasten, waardoor een exacte telling onmogelijk was.

Ondanks het opleggen van een boete, erkende de ICO dat Marriott snel had gehandeld toen het de fout ontdekte en sindsdien zijn systemen had verbeterd.

.