$52 млн и 20 лет под надзором: Marriott платит за слабую кибербезопасность

Marriott International и её дочерняя компания Starwood Hotels выплатят $52 миллиона и создадут комплексную программу информационной безопасности в рамках урегулирования дел о масштабных утечках данных с 2014 по 2020 год, которые затронули более 344 миллионов клиентов.

В рамках соглашения Marriott и Starwood обязаны внедрить комплексную программу по защите данных и предоставить клиентам из США возможность запрашивать удаление своих персональных данных.

Marriott International — крупная гостиничная корпорация, управляющая более 7 000 объектов по всему миру. В 2016 году Marriott приобрела компанию Starwood Hotels, что возложило на неё ответственность за обеспечение безопасности данных клиентов обеих компаний.

FTC отметила несколько случаев, когда Marriott не смогла должным образом защитить данные своих клиентов:

• Первый инцидент произошёл в 2014 году, когда у Starwood случилась утечка данных, в результате которой были скомпрометированы платежные карты клиентов. Утечка оставалась незамеченной в течение 14 месяцев, что увеличило риски для пострадавших пользователей.
• Второй инцидент связан с доступом хакеров к 327 миллионам учетных записей клиентов Starwood, включая 5,25 миллиона нешифрованных номеров паспортов. Утечка произошла в июле 2014 года, но её выявили только в 2018 году, оставив клиентов уязвимыми в течение нескольких лет.
• Третий инцидент уже напрямую коснулся Marriott. В 2020 году злоумышленники получили доступ к данным 5,2 миллиона клиентов, включая их имена, email-адреса, почтовые адреса, номера телефонов, даты рождения и информацию об их аккаунтах в программе лояльности. Однако Marriott смогла обнаружить утечку только в феврале 2020 года.

FTC обвиняет Marriott и Starwood в том, что компании вводили клиентов в заблуждение относительно своей политики безопасности данных. Среди основных проблем были указаны слабые пароли, устаревшее программное обеспечение и отсутствие должного контроля за IT-инфраструктурой.

Согласно условиям соглашения, Marriott и Starwood обязаны:

• Создать комплексную программу по защите данных с внешними оценками каждые 2 года и ежегодной сертификацией в течение 20 лет.
• Ограничить хранение данных необходимым минимумом и информировать клиентов о причинах их сбора.
• Предоставить клиентам возможность запрашивать проверку несанкционированной активности в аккаунтах и восстанавливать утраченные бонусные баллы.
• Предоставить клиентам возможность запрашивать удаление персональной информации, связанной с их электронной почтой или аккаунтом программы лояльности.
• Обеспечить прозрачность в вопросах защиты данных и запретить любые искажения относительно того, как обрабатываются персональные данные.

Marriott также заключила отдельное соглашение с 49 штатами США и округом Колумбия, в рамках которого обязалась выплатить $52 миллиона для урегулирования претензий, связанных с вышеописанными инцидентами.