De Britse privacytoezichthouder ICO heeft hotelketen Marriott een boete van omgerekend 20,4 miljoen euro opgelegd wegens een datalek waarbij de gegevens van 339 miljoen klanten werden gestolen. Volgens de ICO had Marriott onvoldoende maatregelen getroffen om de gegevens van klanten te beschermen.

Aanvallers wisten in 2014 systemen van de Starwood-hotelgroep door een onbekende aanvalsvector te compromitteren. Er werd een webshell op het systeem van Starwood geïnstalleerd. Een webshell is kwaadaardige code die door aanvallers op webservers wordt geplaatst. Via de webshell kan een aanvaller de server op afstand benaderen en allerlei code en commando's uitvoeren. In het geval van Starwood werd de webshell gebruikt voor de installatie van malware.

In 2016 werd Starwood door Marriott overgenomen. Na de overname mochten de Starwoord-hotels het eigen reserveringssysteem blijven gebruiken. Op den duur zou erop het systeem van Marriott worden overgestapt. Starwood maakte gebruik van een beveiligingssysteem voor databases. Dit systeem genereerde op 7 september 2018 een waarschuwing nadat een verdachte query was ontdekt. De query was afkomstig van het account van een systeembeheerder.

Verder onderzoek wees uit dat de eigenaar van het account niet de query had uitgevoerd. Hierop werd een groter onderzoek ingesteld, wat op 17 september tot de ontdekking van een remote access trojan (RAT) leidde. Op sommige systemen vonden onderzoekers sporen van malware, alsmede Mimikatz, een tool waarmee aanvallers inloggegevens stelen.

Tevens bleek dat de aanvallers twee versleutelde archiefbestanden hadden aangemaakt. Onderzoekers wisten de bestanden te ontsleutelen en zagen dat die een tabel met klantgegevens van de reserveringsdatabase bevatten. Uiteindelijk bleek dat de gegevens van 339 miljoen gasten waren buitgemaakt, waaronder 18,5 miljoen versleutelde paspoortnummers en 5,25 miljoen onversleutelde paspoortnummers en duizenden onversleutelde creditcardnummers.

Volgens de ICO heeft Marriott geen grondig onderzoek uitgevoerd toen het Starwood overnam en had het meer moeten doen om de systemen te beveiligen. Hoewel de aanval in 2014 plaatsvond geldt de boete voor het datalek dat in 2018 werd ontdekt toen de AVG van kracht was. Omdat het datalek zich voordeed voordat het VK de Europese Unie verliet heeft de ICO het onderzoek voor alle Europese privacytoezichthouders uitgevoerd. Alle toezichthouders hebben de boete goedgekeurd. De ICO was voornemens om Marriott een boete van 110 miljoen euro op te leggen. Vanwege de maatregelen die Marriott heeft genomen en de gevolgen van de coronacrisis is de boete op 18,4 miljoen euro uitgekomen.