Nieuws
image

Boete van 110 miljoen euro wegens datalek dreigt voor Marriott

dinsdag 9 juli 2019, 15:14 door Redactie, 3 reacties

De Britse privacytoezichthouder ICO is voornemens om hotelketen Marriott een boete van omgerekend 110 miljoen euro op te leggen wegens een datalek waarbij de gegevens van 339 miljoen gasten werden gestolen, waarvan 30 miljoen inwoners van de Europese Economische Ruimte.

De aanvallers zouden systemen van de Starwood-hotelgroep in 2014 hebben gecompromitteerd. Twee jaar later werd Starwood door Marriott overgenomen. De diefstal van klantgegevens werd pas in 2018 ontdekt. Volgens de ICO heeft Marriott geen grondig onderzoek uitgevoerd toen het Starwood overnam en had het meer moeten doen om de systemen te beveiligen.

"De AVG maakt het duidelijk dat organisaties aansprakelijk moeten worden gehouden voor de persoonlijke gegevens die ze hebben. Het kan dan gaan om het uitvoeren van een grondig onderzoek als er een overname plaatsvindt en het nemen van adequate maatregelen om niet alleen te bepalen welke persoonlijke data is verkregen, maar ook hoe het is beveiligd", zegt de Britse Informatiecommissaris Elizabeth Denham.

Waarschuwing

Na de overname mochten de Starwoord-hotels het eigen reserveringssysteem blijven gebruiken. Op den duur zou erop het systeem van Marriott worden overgestapt. Starwood maakte gebruik van een beveiligingssysteem voor databases. Dit systeem genereerde op 7 september 2018 een waarschuwing nadat een verdachte query was ontdekt. De query was afkomstig van het account van een systeembeheerder.

Verder onderzoek wees uit dat de eigenaar van het account niet de query had uitgevoerd. Hierop werd een groter onderzoek ingesteld, wat op 17 september tot de ontdekking van een remote access trojan (RAT) leidde. Op sommige systemen vonden onderzoekers sporen van malware, alsmede Mimikatz, een tool waarmee aanvallers inloggegevens stelen.

Tevens bleek dat de aanvallers twee versleutelde archiefbestanden hadden aangemaakt. Onderzoekers wisten de bestanden te ontsleutelen en zagen dat die een tabel met klantgegevens van de reserveringsdatabase bevatten. Uiteindelijk bleek dat de gegevens van 339 miljoen gasten waren buitgemaakt, waaronder 18,5 miljoen versleutelde paspoortnummers en 5,25 miljoen onversleutelde paspoortnummers en duizenden onversleutelde creditcardnummers.

Marriott kan nog beroep aantekenen. Gisteren liet de ICO al weten dat het van plan is om British Airways een boete van omgerekend 200 miljoen euro wegens een datalek op te leggen. De luchtvaartmaatschappij meldde daarop dat het in beroep ging.

Reacties (3)
09-07-2019, 15:37 door Anoniem
Het business model van Marriott is de moeder van het business model van de smartphone. Time-sharing. Je koopt iets met de illusie dat het van jou is. Maar het eigendom en de macht blijft bij de leverancier. Die breidt zijn bezit uit op jouw kosten. En bepaalt dan ook nog wat je mag en wat niet.

Slim. Maar als ze dan lekkende databases hebben, dan zal dat geld voor die boetes vast al ergens dubbel op de plank liggen. Weinig medelijden mee. Eigenlijk.
09-07-2019, 17:30 door karma4
High privileged accounts ongecontroleerd niet gemonitred in gebruik voor een lange periode.
Dat is een verhaal met onderbouwing
10-07-2019, 09:28 door Anoniem
Daarom duren overnames ook altijd zo lang: je wilt heel goed kijken of je geen lijken in de kast mee koopt. Maar buiten dat is dit goed, dit zal zeker de aandacht trekken van C-level. En het is een mooie manier om de overheidsbegroting te sluiten, of worden de getroffen klanten ook gecompenseerd?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search