Temps de lecture : 5 minutes
Les violations de données se produisent de plus en plus fréquemment dans les entreprises de marques renommées, et c'est certainement une source de préoccupation. Des millions de clients dans le monde sont généralement lésés par ces incidents et, le plus souvent, des données d'identification et financières sensibles sont divulguées.
Maintenant, la dernière histoire de violation de Big Data concerne Marriott, une très grande chaîne hôtelière internationale. Les données violées concernent les personnes qui ont séjourné dans les établissements Starwood Hotels and Resorts au moins une fois entre 2014 (aucune date approximative n'est indiquée) et le 10 septembre 2018. Si vous n'avez pas séjourné dans un hôtel de marque Marriott pendant cette période, il y a toujours raison de vous inquiéter. La chaîne Starwood Hotels and Resorts comprend les hôtels W, St.Regis, Sheraton Hotels & Resorts, Westin Hotels & Resorts, Element Hotels, Aloft Hotels, The Luxury Collection properties, Tribute Portfolio properties, Le Méridien Hotels & Resorts, Four Points by Sheraton et Design Hotels. Il est intéressant de noter que bien que le communiqué de presse rapportant la violation soit sous le nom de Marriott International, les données spécifiques à Marriott n'étaient pas impliquées dans cette violation car les bases de données de réservation Starwood et Marriott sont toujours séparées.
Le grand nombre de propriétés et de marques internationales est le résultat de fusions d'entreprises en cours au cours des dernières décennies. Plus récemment, la fusion de Marriott International et de Starwood a été approuvée le 23 septembre 2016. Je sais que plusieurs de ces hôtels se trouvent dans ma ville natale de Toronto, et ils se trouvent également dans des villes et des grandes villes des Amériques, d'Europe et d'Asie. , Afrique, Océanie et Moyen-Orient. Il existe collectivement des milliers de propriétés dans 130 pays. Si vous avez séjourné dans un bel hôtel au cours des dernières années, il est possible que cette violation vous ait touché.
Marriott International a signalé la violation dans un communiqué de presse le 30 novembre. Cela explique:
«Marriott apprécie nos clients et comprend l'importance de protéger les informations personnelles. Nous avons pris des mesures pour enquêter et résoudre un incident de sécurité des données impliquant la base de données de réservation de clients Starwood. L'enquête a déterminé qu'il y avait un accès non autorisé à la base de données, qui contenait des informations sur les clients relatives aux réservations dans les établissements Starwood au plus tard le 10 septembre 2018. Cet avis explique ce qui s'est passé, les mesures que nous avons prises et certaines mesures que vous pouvez prendre en réponse .
Le 8 septembre 2018, Marriott a reçu une alerte d'un outil de sécurité interne concernant une tentative d'accès à la base de données de réservation de clients Starwood. Marriott a rapidement engagé des experts en sécurité de premier plan pour aider à déterminer ce qui s'est passé. Marriott a appris au cours de l'enquête qu'il y avait eu un accès non autorisé au réseau Starwood depuis 2014. Marriott a récemment découvert qu'une partie non autorisée avait copié et chiffré des informations et a pris des mesures pour les supprimer. Le 19 novembre 2018, Marriott a pu déchiffrer les informations et a déterminé que le contenu provenait de la base de données de réservation des clients Starwood. »
Alors, combien de clients sont concernés par la violation?
«Marriott n'a pas fini d'identifier les informations en double dans la base de données, mais pense qu'elle contient des informations sur environ 500 millions de clients qui ont effectué une réservation dans un établissement Starwood. Pour environ 327 millions de ces clients, les informations comprennent une combinaison de nom, adresse postale, numéro de téléphone, adresse e-mail, numéro de passeport, informations de compte Starwood Preferred Guest (`` SPG ''), date de naissance, sexe, informations d'arrivée et de départ, date de réservation et préférences de communication. Pour certains, les informations incluent également les numéros de carte de paiement et les dates d'expiration des cartes de paiement, mais les numéros de carte de paiement ont été cryptés à l'aide du cryptage Advanced Encryption Standard (AES-128). Deux éléments sont nécessaires pour déchiffrer les numéros de carte de paiement et, à ce stade, Marriott n'a pas été en mesure d'exclure la possibilité que les deux aient été pris. Pour les invités restants, les informations se limitaient au nom et parfois à d'autres données telles que l'adresse postale, l'adresse e-mail ou d'autres informations limitées. "
Sensationnel. Ainsi, au moins quelques centaines de millions de personnes ont été touchées. J'espère que des chiffres plus précis sortiront au fur et à mesure des progrès réalisés dans l'enquête post-incident.
Je suis heureux que Marriott International ait signalé la violation moins de quelques mois après l'avoir découverte, c'est mieux que ce que de nombreuses grandes entreprises ont fait en réponse à leur les violations de données. Je suis également heureux qu'ils semblent fournir autant d'informations qu'ils le peuvent. Et c'est à peu près autant de belles choses que j'ai à dire à ce sujet.
Voici mes critiques. Ils ont découvert la brèche début septembre. Inévitablement, la plupart des clients concernés sont des citoyens et des résidents des pays de l'Union européenne. Le règlement général sur la protection des données de l'UE est entré en vigueur en mai dernier et la loi s'applique aux données de ces clients même s'ils séjournaient dans un hôtel en dehors de l'Europe. Selon le RGPD, les violations doivent être signalées dans les 72 heures suivant leur découverte. Le temps mis par Marriott International pour signaler cette violation a probablement violé le RGPD. Le temps nous dira si la société reçoit une amende ou non.
Les lois sur la confidentialité des données ailleurs dans le monde ne sont généralement pas aussi strictes que le RGPD. Je sais que la réglementation canadienne en vertu de la LPRPDE n'impose pas de délai précis pour signaler les violations! Mais parfois, le RGPD aide les victimes de violation de données qui ne sont pas originaires de l'UE. Si une violation affecte des personnes partout dans le monde, comme le fait cette violation de Starwood, le fait que certains des clients viennent de l'UE signifie que les victimes de la violation dans le monde entier bénéficient de la pression de signaler dans les 72 heures.
Pourtant, Marriott International a mis près de trois mois après la découverte pour signaler cette violation.
Il semble que Marriott International ait corrigé la cause de la violation le 10 septembre, quelques jours après sa découverte. Mais cette faille remonte à 2014. Marriott dit qu'un outil de sécurité d'une certaine sorte les a aidés à découvrir la brèche. Cet outil a-t-il été mis en œuvre très récemment? Le réseau de Starwood manquait-il de dispositifs de détection d'intrusion, de journalisation et de SIEM appropriés jusqu'à très récemment? Cette possibilité me dérange.
Cette violation affecte non seulement les clients membres du programme Starwood Preferred Guest (SPG), mais également les clients qui ne sont pas membres SPG. Si vous pensez être victime de cette violation, voici ce que vous pouvez faire.
Si vous disposez d'un compte SPG, modifiez son mot de passe dès que possible. Surveillez ensuite votre compte SPG pour détecter toute activité suspecte. Que vous soyez un client SPG ou non, consultez vos relevés de carte de crédit si vous avez utilisé une carte dans l'une de ces propriétés Starwood. Si quelque chose ne va pas, appelez votre banque ou l'émetteur de la carte de crédit dès que possible. Vérifiez si vous avez violé des données via Ai-je été appelé?. Gardez simplement à l'esprit que vous pouvez toujours être affecté par la violation de Marriott même si vos comptes ne sont pas mentionnés dans la base de données du site, et le site peut mentionner vos données violées suite à des incidents de violation de données non liés. En cas de doute, cela ne fait pas de mal de changer tous vos mots de passe pour tout! Assurez-vous peut-être d'utiliser un gestionnaire de mots de passe réputé afin de pouvoir utiliser de nombreux mots de passe complexes sans les écrire sur papier.
Documentation associée
Scanner de logiciels malveillants de site Web
Le poste Marriott Data Breach - Vous vous enregistrez et vos informations personnelles sont extraites apparaît en premier sur Actualités et informations sur la sécurité Internet de Comodo.
- &
- 10
- 2016
- a
- Description
- accès
- Selon
- Compte
- activité
- propos
- Avancée
- Afrique
- Tous
- Bien que
- Amériques
- paru
- d'environ
- autour
- Asie
- Banque
- car
- before
- croit
- profiter
- Améliorée
- jusqu'à XNUMX fois
- Big Data
- Block
- marqué
- Marques
- violation
- infractions
- Appelez-nous
- Causes
- chaîne
- Change
- Contrôles
- Villes
- collection
- combinaison
- comment
- Communication
- Sociétés
- complexe
- composants électriques
- concerné
- contient
- contenu
- Entreprises
- SOCIÉTÉ
- Corporations
- d'exportation
- Couples
- crédit
- carte de crédit
- des clients
- Clients
- données
- violation de données
- confidentialité des données
- protection des données
- la sécurité des données
- Base de données
- bases de données
- Dates
- jours
- Conception
- Détection
- Déterminer
- Compatibles
- DID
- découvrez
- découvert
- découverte
- Commande
- Ne fait pas
- down
- pendant
- "Early Bird"
- effet
- chiffrement
- EU
- Europe
- du
- Union européenne
- de santé
- la traduction de documents financiers
- données financières
- Prénom
- fixé
- CADRE
- de
- RGPD
- Genre
- Général
- Règlement Général de Protection des Données
- GUEST
- arrivé
- aider
- a aidé
- aide
- d'espérance
- l'hôtel
- Comment
- HTTPS
- Identification
- identifier
- mis en œuvre
- importance
- inclut
- croissant
- info
- d'information
- International
- Internet
- Internet Security
- enquêter
- enquête
- impliqué
- IT
- XNUMX éléments à
- Savoir
- gros
- plus importantes
- Nouveautés
- Droit applicable et juridiction compétente
- Lois
- conduisant
- savant
- limité
- Style
- LES PLANTES
- faire
- malware
- manager
- Matière
- veux dire
- les mesures
- Membres
- mentionné
- Moyen-Orient
- million
- des millions
- l'esprit
- mois
- PLUS
- (en fait, presque toutes)
- réseau et
- nouvelles
- nombre
- numéros
- en cours
- Autre
- Papier
- fête
- passeport
- Mot de Passe
- mots de passe
- Paiement
- Carte de paiement
- Personnes
- être
- période
- personnel
- Point
- des notes bonus
- portefeuille
- possibilité
- possible
- préféré
- Press
- Communiqués de presse
- la parfaite pression
- la confidentialité
- Programme
- propriétés
- propriété
- protection
- aportando
- vite.
- reçu
- récemment
- en ce qui concerne
- Règlement
- libérer
- restant
- enlever
- rapport
- réservation
- réponse
- sécurité
- plusieurs
- depuis
- site
- So
- quelques
- quelque chose
- groupe de neurones
- Standard
- déclarations
- rester
- séjourné
- Encore
- Histoire
- La
- la loi
- le monde
- des choses
- milliers
- trois
- fiable
- outil
- toronto
- vers
- villes
- typiquement
- sous
- comprend
- union
- utilisé
- victimes
- W
- Montres
- Quoi
- que
- WHO
- dans les
- sans
- world
- partout dans le monde
- écriture
- années
- Votre