Marriott krijgt boete van 20,4 miljoen euro wegens datalek
De Britse privacytoezichthouder ICO heeft hotelketen Marriott een boete van omgerekend 20,4 miljoen euro opgelegd wegens een datalek waarbij de gegevens van 339 miljoen klanten werden gestolen. Volgens de ICO had Marriott onvoldoende maatregelen getroffen om de gegevens van klanten te beschermen.
Aanvallers wisten in 2014 systemen van de Starwood-hotelgroep door een onbekende aanvalsvector te compromitteren. Er werd een webshell op het systeem van Starwood geïnstalleerd. Een webshell is kwaadaardige code die door aanvallers op webservers wordt geplaatst. Via de webshell kan een aanvaller de server op afstand benaderen en allerlei code en commando's uitvoeren. In het geval van Starwood werd de webshell gebruikt voor de installatie van malware.
In 2016 werd Starwood door Marriott overgenomen. Na de overname mochten de Starwoord-hotels het eigen reserveringssysteem blijven gebruiken. Op den duur zou erop het systeem van Marriott worden overgestapt. Starwood maakte gebruik van een beveiligingssysteem voor databases. Dit systeem genereerde op 7 september 2018 een waarschuwing nadat een verdachte query was ontdekt. De query was afkomstig van het account van een systeembeheerder.
Verder onderzoek wees uit dat de eigenaar van het account niet de query had uitgevoerd. Hierop werd een groter onderzoek ingesteld, wat op 17 september tot de ontdekking van een remote access trojan (RAT) leidde. Op sommige systemen vonden onderzoekers sporen van malware, alsmede Mimikatz, een tool waarmee aanvallers inloggegevens stelen.
Tevens bleek dat de aanvallers twee versleutelde archiefbestanden hadden aangemaakt. Onderzoekers wisten de bestanden te ontsleutelen en zagen dat die een tabel met klantgegevens van de reserveringsdatabase bevatten. Uiteindelijk bleek dat de gegevens van 339 miljoen gasten waren buitgemaakt, waaronder 18,5 miljoen versleutelde paspoortnummers en 5,25 miljoen onversleutelde paspoortnummers en duizenden onversleutelde creditcardnummers.
Volgens de ICO heeft Marriott geen grondig onderzoek uitgevoerd toen het Starwood overnam en had het meer moeten doen om de systemen te beveiligen. Hoewel de aanval in 2014 plaatsvond geldt de boete voor het datalek dat in 2018 werd ontdekt toen de AVG van kracht was. Omdat het datalek zich voordeed voordat het VK de Europese Unie verliet heeft de ICO het onderzoek voor alle Europese privacytoezichthouders uitgevoerd. Alle toezichthouders hebben de boete goedgekeurd. De ICO was voornemens om Marriott een boete van 110 miljoen euro op te leggen. Vanwege de maatregelen die Marriott heeft genomen en de gevolgen van de coronacrisis is de boete op 18,4 miljoen euro uitgekomen.
Ja dat is natuurlijk vragen om problemen. Deze gegevens bewaren en opslaan is totaal onzin.
In hotels wordt er bij aankomst een betalingsmogelijkheid of claim gedaan. Hierdoor heeft het hotel de garantie van de creditcard maatschappij om niet alleen de betaling van de kamer in rekening te brengen, maar ook eventuele schade die de gasten achterlaten. Bij normaal gebruik van de kamer wordt achteraf slechts de kamerhuur afgeschreven.
Waarschijnlijk niet naar de slachtoffers.
Het zou overigens 0,06 Euro per klant zijn. Het laat zien wat je persoonsgegevens waard zijn in de ogen van de privacy toezichthouders. Zelfs indien de boete 110 miljoen zou zijn, dan bedraagt de boete 0,32 Euro per klant
Waarschijnlijk niet naar de slachtoffers.
Het zou overigens 0,06 Euro per klant zijn. Het laat zien wat je persoonsgegevens waard zijn in de ogen van de privacy toezichthouders. Zelfs indien de boete 110 miljoen zou zijn, dan bedraagt de boete 0,32 Euro per klant
Eens. Dit is belangrijk omdat de winst per klant veel hoger is dan 0,06 Euro of 0,32 Euro. Echt pijn kan het dus niet doen en dus is er geen sterke prikkel om fundamenteel te verbeteren.
Ook de potentiële schade is veel hoger. Als mij was gevraagd of ik voor 6 cent mijn gegevens op het internet wil gooien dan is het antwoord natuurlijk *nee*.
Waarschijnlijk niet naar de slachtoffers.
Het zou overigens 0,06 Euro per klant zijn. Het laat zien wat je persoonsgegevens waard zijn in de ogen van de privacy toezichthouders. Zelfs indien de boete 110 miljoen zou zijn, dan bedraagt de boete 0,32 Euro per klant
Eens. Dit is belangrijk omdat de winst per klant veel hoger is dan 0,06 Euro of 0,32 Euro. Echt pijn kan het dus niet doen en dus is er geen sterke prikkel om fundamenteel te verbeteren.
Ook de potentiële schade is veel hoger. Als mij was gevraagd of ik voor 6 cent mijn gegevens op het internet wil gooien dan is het antwoord natuurlijk *nee*.
Ik denk dat het belangrijk is om mee te nemen dat alleen de ICT-afdeling waarschijnlijk hiervan wist, mogelijk zelfs binnen de afdeling wisten slechts paar collega's deze configuratie. Het is dan onredelijk om de hele hotelketen hard te treffen; de andere 99% van de collega's doen wel integer en goed hun werk.
Waarschijnlijk niet naar de slachtoffers.
Het zou overigens 0,06 Euro per klant zijn. Het laat zien wat je persoonsgegevens waard zijn in de ogen van de privacy toezichthouders. Zelfs indien de boete 110 miljoen zou zijn, dan bedraagt de boete 0,32 Euro per klant
Boetes gaan nooit naar het slachtoffer. Maar een boete biedt de klant de mogelijkheid om zelf een schadevergoeding te claimen. Je staat dan sterker in een civielrechterlijke zaak.
Maar ook bij verkeersboetes wordt er niet gekeken naar de schade die een hardrijder veroorzaakt. Al zie ik wel steeds meer nut van de werkwijze in Finland en (in mindere mate) Zwitersland. Net als bij de AVG de boete afhankelijk maken van de winst of het vermogen van de dader. In Nederland zal dat lastig gaan met de AVG, maar een oplossing is om de boete een vast percentage te maken van de nieuwwaarde van de auto.
Peter
De reden van het datalek doet er eigenlijk niet toe. Dat de ene kant van het bedrijf niet weet wat de andere kant doet, is ook irrelevant. Het is één juridische entiteit en die hoort als zodanig te worden aangesproken.
Uiteindelijk denkt de aandeelhouder: Opbrengst 100 Euro per nacht, slecht georganiseerde ICT kost weinig en levert slechts de kans op een minieme boete... Vervolgens krijgt de directie een bonus voor "goed werk".
• Toezichthouders merken op dat Marriot kennelijk niets leert van eerdere fouten en zijn nu veel meer geneigd om boetes op te leggen die werkelijk pijn doen.
• Klanten lezen in de krant dat dat hun gegevens echt niet veilig zijn bij Marriot en gaan dan toch wat vaker rondkijken of er geen andere hotels te vinden zijn.
Dus als je een stapje verder kijkt dan het omrekenen van de boeten naar de kosten per klant kom je uit op iets waar management en aandeelhouders wel degelijk gevoelig voor zijn.
Het topmanagement van Marriot zal echt wel vooruit denken. Om een internationale hotelketen te leiden moet je wat meer vaardigheden hebben op dat vlak dan voor het friteskot om de hoek.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.