Η Ομοσπονδιακή Επιτροπή Εμπορίου κατέτρεψε την αλυσίδα ξενοδοχείων Marriott μετά από μια σειρά παραβιάσεων δεδομένων μεταξύ 2014 και 2020 που επηρέασαν περισσότερους από 344 εκατομμύρια πελάτες σε όλο τον κόσμο.
Σε ένα δελτίο τύπου της 9ης Οκτωβρίου που ανακοινώνει τη συμφωνία με την εταιρεία, η υπηρεσία είπε ότι η Marriott πρέπει να διαγράψει τυχόν προσωπικά δεδομένα που σχετίζονται με τον λογαριασμό ενός πελάτη κατόπιν αιτήματος και να επαναφέρει τυχόν πόντους αφοσίωσης που χάθηκαν λόγω των παραβιάσεων. Επιπλέον, το δίκτυο πρέπει να ενισχύσει δραματικά την ασφάλειά του για την καλύτερη προστασία των πελατών από μελλοντικές επιθέσεις στον κυβερνοχώρο.
Επίσης: Γιατί πρέπει να απενεργοποιείτε το τηλέφωνό σας τουλάχιστον μία φορά την εβδομάδα – σύμφωνα με την NSA
Η Marriott εξαγόρασε τη Starwood το 2015, δημιουργώντας τη μεγαλύτερη ξενοδοχειακή εταιρεία στον κόσμο. Όμως τα τελευταία χρόνια ήταν προβληματικά για το δίκτυο, τουλάχιστον όσον αφορά την ασφάλεια στον κυβερνοχώρο.
Στην καταγγελία της, η Ομοσπονδιακή Επιτροπή Εμπορίου είπε ότι η εταιρεία απέτυχε να προστατεύσει τα δεδομένα πελατών σε τουλάχιστον τρεις ξεχωριστές παραβιάσεις δεδομένων. Ως αποτέλεσμα, οι χάκερ κατάφεραν να κλέψουν πληροφορίες χρηστών, όπως αριθμούς καρτών πληρωμής, αριθμούς επιβράβευσης, στοιχεία διαβατηρίου, ημερομηνίες γέννησης και διευθύνσεις email.
Επίσης: Πώς να χρησιμοποιήσετε τη δυνατότητα Private Space στο Android 15 και να προστατέψετε τα ευαίσθητα δεδομένα σας.
Συγκεκριμένα, σύμφωνα με την FTC, η Marriott και η Starwood απέτυχαν να δημιουργήσουν επαρκή στοιχεία ελέγχου κωδικού πρόσβασης, στοιχεία ελέγχου πρόσβασης, στοιχεία ελέγχου τείχους προστασίας ή τμηματοποίηση δικτύου. Το δίκτυο αμέλησε επίσης να ενημερώσει παλαιού τύπου λογισμικό και συστήματα, να παρακολουθήσει το περιβάλλον δικτύου και να εφαρμόσει αποτελεσματικό έλεγχο ταυτότητας πολλαπλών παραγόντων. Η εταιρεία εξαπάτησε τους πελάτες της, πρόσθεσε η Ομοσπονδιακή Επιτροπή Εμπορίου, ισχυριζόμενη ότι έχει λογικά και κατάλληλα μέτρα ασφαλείας.
Ξεκινώντας τον Ιούνιο του 2014, η πρώτη παραβίαση επηρέασε περισσότερους από 40.000 πελάτες της Starwood και παρέμεινε απαρατήρητη για 14 μήνες. Ξεκινώντας τον Ιούλιο του 2014, η δεύτερη παραβίαση είχε ως αποτέλεσμα την κλοπή 339 εκατομμυρίων αρχείων λογαριασμών επισκεπτών της Starwood και 5,25 εκατομμυρίων μη κρυπτογραφημένων αριθμών διαβατηρίων και παρέμεινε απαρατήρητη μέχρι τον Σεπτέμβριο του 2018.
Επίσης: Οι χρήστες της εφαρμογής Cash έχουν λιγότερο από έναν μήνα για να διεκδικήσουν έως και 2.500 $.
Τον Σεπτέμβριο του 2018, μια τρίτη παραβίαση επηρέασε περισσότερα από 5,2 εκατομμύρια αρχεία επισκεπτών, συμπεριλαμβανομένων ονομάτων, ταχυδρομικών διευθύνσεων, διευθύνσεων ηλεκτρονικού ταχυδρομείου, αριθμών τηλεφώνου και στοιχείων κάρτας αφοσίωσης. Αυτό παρέμεινε απαρατήρητο μέχρι τον Φεβρουάριο του 2020.
Ως αποτέλεσμα όλων αυτών των παραβιάσεων, το δίκτυο αντιμετώπισε πολλές μηνύσεις και πρόστιμα. Ως μέρος ενός άλλου διακανονισμού με 50 γενικούς εισαγγελείς της πολιτείας, που επίσης ανακοινώθηκε στις 9 Οκτωβρίου, η Marriott θα πρέπει να πληρώσει πρόστιμο 52 εκατομμυρίων δολαρίων. Αυτό οφείλεται σε ένα hack στη βάση δεδομένων του λογαριασμού επισκεπτών του Starwood. Μετά από αυτόν τον διακανονισμό, καθώς και τη συμφωνία με την Ομοσπονδιακή Επιτροπή Εμπορίου, η εταιρεία θα έχει πολλά να κάνει.
Επίσης: Γιατί να αφαιρέσετε τους ρωσικούς συντηρητές πυρήνα Linux; Να τι λέει ο Torvalds
Για τους πελάτες της Marriott, ο διακανονισμός FTC σημαίνει τα εξής:
- Μπορείτε να ζητήσετε από την Εταιρεία να ελέγξει τον λογαριασμό σας Bonvoy για μη εξουσιοδοτημένη ή ύποπτη δραστηριότητα. Εάν ως αποτέλεσμα κλαπούν πόντους επιβράβευσης, η εταιρεία θα πρέπει να τους επαναφέρει.
- Χρησιμοποιώντας τον ιστότοπο της Marriott ή την εφαρμογή για κινητά, μπορείτε να ζητήσετε τη διαγραφή οποιωνδήποτε προσωπικών δεδομένων που σχετίζονται με τη διεύθυνση email σας ή τον αριθμό λογαριασμού Bonvoy.
- Τώρα μπορείτε να ρυθμίσετε τον έλεγχο ταυτότητας πολλαπλών παραγόντων στον λογαριασμό σας Bonvoy για να τον προστατεύσετε καλύτερα.
- Η πολιτική απορρήτου μιας εταιρείας πρέπει να εξηγεί ξεκάθαρα γιατί συλλέγει και αποθηκεύει τα προσωπικά σας δεδομένα.
Για να βελτιώσει την κυβερνοασφάλειά της, η Marriott θα πρέπει επίσης να αντιμετωπίσει τα ακόλουθα ζητήματα:
- Το δίκτυο πρέπει να δημιουργήσει ένα ολοκληρωμένο πρόγραμμα ασφαλείας που να περιλαμβάνει έλεγχο ταυτότητας πολλαπλών παραγόντων, κρυπτογράφηση και άλλα μέτρα ασφαλείας.
- Θα πρέπει να συνεργαστεί με τρίτους ελεγκτές για το πρόγραμμα ασφάλειας πληροφοριών.
- Μπορεί να αποθηκεύσει προσωπικές πληροφορίες για πελάτες μόνο εάν υπάρχει επιχειρηματική ανάγκη να το πράξει.
- Η Εταιρεία μπορεί να χρησιμοποιήσει τις πληροφορίες που συλλέγονται μόνο για τον αναφερόμενο σκοπό.
- Πρέπει να διαγράφει όλες τις πληροφορίες που συλλέγονται όταν δεν είναι πλέον απαραίτητες.
- Δεν μπορεί να χρησιμοποιήσει δεδομένα που έπρεπε να διαγραφούν για λόγους μάρκετινγκ.
Ο διακανονισμός με τους γενικούς εισαγγελείς του κράτους αφήνει τη Marriott με ακόμη περισσότερα προβλήματα.
Επίσης: Η παραβίαση πιστότητας εξέθεσε προσωπικά στοιχεία 77.000 πελατών.
Ως μέρος του προγράμματος ασφάλειας πληροφοριών, μια εταιρεία πρέπει να θεσπίσει αρχές μηδενικής εμπιστοσύνης, να αναφέρει τακτικά την ασφάλεια στον Διευθύνοντα Σύμβουλο και να εκπαιδεύει τους υπαλλήλους σε πρακτικές δεδομένων και ασφάλειας.
Για την καλύτερη προστασία των δεδομένων πελατών, η Marriott πρέπει να λάβει ορισμένα μέτρα, όπως η ενίσχυση της ασφάλειας στοιχείων, του αποθέματος περιουσιακών στοιχείων, της κρυπτογράφησης, της τμηματοποίησης δικτύου, της διαχείρισης ενημερώσεων κώδικα, της ανίχνευσης εισβολής, του ελέγχου πρόσβασης χρηστών και της παρακολούθησης αρχείων και χρηστών στο δίκτυο.
Επίσης: Γιατί δεν χρειάζεται πλέον να πληρώνετε για λογισμικό προστασίας από ιούς
Η αλυσίδα ξενοδοχείων θα πρέπει επίσης να ενισχύσει τους ελέγχους ασφαλείας σε προμηθευτές και δικαιοδόχους, με ιδιαίτερη έμφαση στις εκτιμήσεις κινδύνου για σημαντικούς προμηθευτές πληροφορικής και παρόχους υπηρεσιών cloud. Εάν η Marriott αποκτήσει άλλη εταιρεία στο μέλλον, θα πρέπει να επανεξετάσει την ασφάλεια αυτής της επιχείρησης και να αναπτύξει σχέδια για να εντοπίσει και να διορθώσει τυχόν κενά ή ελλείψεις στο πρόγραμμά της.
Τέλος, η Marriott θα πρέπει να υποβάλλεται σε έλεγχο ανεξάρτητου τρίτου μέρους του προγράμματος ασφάλειας πληροφοριών της κάθε δύο χρόνια για 20 χρόνια.
Επίσης: Καλύτερα VPN για ταξίδια: Δοκιμασμένο και αξιολογημένο από ειδικούς
«Οι πρόσφατοι διακανονισμοί κατά της Marriott χρησιμεύουν ως υπενθύμιση της αυξανόμενης ευθύνης που έχουν οι εταιρείες και οι ηγέτες ασφάλειας τους όσον αφορά την ασφάλεια των δεδομένων», δήλωσε στο ZDNET ο Darren Guccione, Διευθύνων Σύμβουλος και συνιδρυτής της Keeper Security.
«Η απαιτούμενη εφαρμογή ενός ολοκληρωμένου προγράμματος ασφάλειας πληροφοριών θέτει ένα σημείο αναφοράς για άλλες εταιρείες που πρέπει να ακολουθήσουν και στέλνει ένα σαφές μήνυμα στην Ομοσπονδιακή Επιτροπή Εμπορίου ότι η αμέλεια στην προστασία των δεδομένων των πελατών μπορεί να οδηγήσει σε σημαντικά πρόστιμα και μακροπρόθεσμη ζημιά στη φήμη», πρόσθεσε ο Guccione. «Οι ηγέτες των επιχειρήσεων συνειδητοποιούν τώρα ότι πρέπει να δώσουν προτεραιότητα στην ασφάλεια στον κυβερνοχώρο περισσότερο από ποτέ. Για τους καταναλωτές, το δικαίωμα να ζητήσουν τη διαγραφή δεδομένων και τη βελτιωμένη προστασία λογαριασμών αφοσίωσης παρέχουν λίγη σιγουριά ότι το απόρρητό τους λαμβάνεται σοβαρά υπόψη».