Tempo de leitura: 5 minutos
Violações de dados estão ocorrendo com frequência cada vez maior em empresas de renome, e isso certamente é motivo de preocupação. Milhões de clientes em todo o mundo são normalmente prejudicados por esses incidentes e, na maioria das vezes, dados confidenciais de identificação e financeiros vazam.
Agora, a última história de violação de big data é sobre a Marriott, uma grande rede internacional de hotéis. Os dados violados referem-se a pessoas que se hospedaram em propriedades Starwood Hotels and Resorts pelo menos uma vez entre 2014 (nenhuma data aproximada é fornecida) e 10 de setembro de 2018. Se você não se hospedou em um hotel da marca Marriott durante esse período, há ainda motivo para você se preocupar. A rede Starwood Hotels and Resorts inclui W Hotels, St. Regis, Sheraton Hotels & Resorts, Westin Hotels & Resorts, Element Hotels, Aloft Hotels, propriedades The Luxury Collection, propriedades Tribute Portfolio, Le Méridien Hotels & Resorts, Four Points by Sheraton e Design Hotels. Curiosamente, embora o comunicado à imprensa relatando a violação esteja sob o nome Marriott International, os dados específicos do Marriott não foram envolvidos nesta violação porque os bancos de dados de reservas Starwood e Marriott ainda são separados.
O grande número de propriedades e marcas internacionais é o resultado de fusões corporativas em andamento nas últimas décadas. Mais recentemente, a fusão da Marriott International e da Starwood foi aprovada em 23 de setembro de 2016. Sei que vários desses hotéis estão em minha cidade natal, Toronto, e também estão em cidades e vilas maiores em todas as Américas, Europa, Ásia , África, Oceania e Oriente Médio. Ao todo, existem milhares de propriedades em 130 países. Se você se hospedou em um bom hotel nos últimos anos, há uma chance de que essa violação o tenha impactado.
Marriott International relatou a violação em um comunicados à CMVM em 30 de novembro. Isso explica:
“A Marriott valoriza nossos hóspedes e entende a importância de proteger as informações pessoais. Tomamos medidas para investigar e resolver um incidente de segurança de dados envolvendo o banco de dados de reservas de hóspedes Starwood. A investigação determinou que houve acesso não autorizado ao banco de dados, que continha informações de hóspedes relacionadas a reservas em propriedades Starwood em ou antes de 10 de setembro de 2018. Este aviso explica o que aconteceu, as medidas que tomamos e algumas etapas que você pode tomar em resposta .
Em 8 de setembro de 2018, a Marriott recebeu um alerta de uma ferramenta de segurança interna sobre uma tentativa de acessar o banco de dados de reservas de hóspedes Starwood. A Marriott envolveu rapidamente os principais especialistas em segurança para ajudar a determinar o que ocorreu. A Marriott soube durante a investigação que havia acesso não autorizado à rede Starwood desde 2014. A Marriott descobriu recentemente que uma parte não autorizada havia copiado e criptografado informações e tomou medidas para removê-las. Em 19 de novembro de 2018, a Marriott conseguiu descriptografar as informações e determinou que o conteúdo era do banco de dados de reservas de hóspedes Starwood. ”
Então, quantos clientes são afetados pela violação?
“O Marriott não concluiu a identificação de informações duplicadas no banco de dados, mas acredita que ele contém informações sobre até aproximadamente 500 milhões de hóspedes que fizeram uma reserva em uma propriedade Starwood. Para aproximadamente 327 milhões desses hóspedes, as informações incluem alguma combinação de nome, endereço de correspondência, número de telefone, endereço de e-mail, número do passaporte, informações da conta Starwood Preferred Guest ('SPG'), data de nascimento, sexo, informações de chegada e partida, data de reserva e preferências de comunicação. Para alguns, as informações também incluem números de cartão de pagamento e datas de expiração de cartão de pagamento, mas os números de cartão de pagamento foram criptografados usando criptografia Advanced Encryption Standard (AES-128). Há dois componentes necessários para descriptografar os números de cartão de pagamento e, neste momento, a Marriott não foi capaz de descartar a possibilidade de que ambos tenham sido usados. Para os convidados restantes, as informações foram limitadas ao nome e às vezes outros dados, como endereço de correspondência, endereço de e-mail ou outras informações limitadas. ”
Uau. Portanto, pelo menos algumas centenas de milhões de pessoas foram afetadas. Espero que números mais específicos apareçam conforme o progresso é feito na investigação pós-incidente.
Estou feliz que a Marriott International relatou a violação menos de alguns meses depois de descobri-la, isso é melhor do que muitas grandes corporações têm feito em resposta a seus violação de dados. Também estou feliz que eles parecem estar fornecendo o máximo de informações que podem. E isso é tudo o que tenho a dizer sobre esse assunto.
Aqui estão minhas críticas. Eles descobriram a violação no início de setembro. Inevitavelmente, muitos dos clientes afetados são cidadãos e residentes de países da União Europeia. O Regulamento Geral de Proteção de Dados da UE entrou em vigor em maio passado e a lei se aplica aos dados desses clientes, mesmo que eles estivessem hospedados em um hotel fora da Europa. De acordo com o GDPR, as violações devem ser relatadas dentro de 72 horas após a descoberta. O tempo que a Marriott International levou para relatar essa violação provavelmente violou o GDPR. O tempo dirá se a empresa será multada ou não.
As leis de privacidade de dados em outras partes do mundo normalmente não são tão rígidas quanto o GDPR. Eu sei que o regulamento PIPEDA do Canadá não exige um prazo específico para relatar violações! Mas às vezes o GDPR ajuda as vítimas de violação de dados que não são da UE. Se uma violação afetar pessoas em todo o mundo como esta violação da Starwood afeta, o fato de alguns dos clientes serem da UE significa que as vítimas da violação em todo o mundo se beneficiam da pressão para relatar em 72 horas.
Mesmo assim, a Marriott International levou quase três meses após a descoberta para relatar essa violação.
Parece que a Marriott International corrigiu a causa da violação em 10 de setembro, alguns dias após a descoberta. Mas essa violação remonta a 2014. Marriott diz que uma ferramenta de segurança de algum tipo os ajudou a descobrir a violação. Essa ferramenta foi implementada recentemente? A rede da Starwood carecia de dispositivos adequados de detecção de intrusão, registro e SIEM até muito recentemente? Essa possibilidade me incomoda.
Essa violação não afeta apenas os clientes que são membros do programa Starwood Preferred Guest (SPG), mas também os clientes que não são membros do SPG. Se você acha que pode ser uma vítima dessa violação, aqui está o que pode fazer.
Se você tiver uma conta SPG, altere sua senha o mais rápido possível. Em seguida, observe sua conta SPG quanto a atividades suspeitas. Quer você seja ou não um cliente SPG, consulte as faturas do seu cartão de crédito se você usou um cartão em qualquer uma dessas propriedades Starwood. Se algo parecer errado, ligue para o seu banco ou para o emissor do cartão de crédito assim que possível. Veja se você violou dados via Tenho sido pwned. Lembre-se de que você ainda pode ser afetado pela violação do Marriott, mesmo que suas contas não sejam mencionadas no banco de dados do site, e o site pode mencionar seus dados violados de incidentes de violação de dados não relacionados. Na dúvida, não custa nada mudar todas as suas senhas para tudo! Certifique-se de usar um gerenciador de senhas confiável para que possa usar muitas senhas complexas sem escrever nenhuma delas no papel.
Recursos relacionados
Scanner de malware para sites
O posto Marriott Data Breach - Você faz check-in e suas informações pessoais fazem check-out apareceu pela primeira vez em Notícias da Comodo e informações de segurança da Internet.
- &
- 10
- 2016
- a
- Sobre
- Acesso
- Segundo
- Conta
- atividade
- endereço
- avançado
- África
- Todos os Produtos
- Apesar
- Américas
- apareceu
- aproximadamente
- por aí
- Ásia
- Bank
- Porque
- antes
- acredita
- beneficiar
- Melhor
- entre
- Big Data
- Bloquear
- de marca
- marcas
- violação
- violações
- chamada
- Causar
- cadeia
- alterar
- Cheques
- Cidades
- coleção
- combinação
- como
- Comunicação
- Empresas
- integrações
- componentes
- preocupado
- contém
- conteúdo
- Responsabilidade
- CORPORAÇÃO
- Corporações
- países
- Casal
- crédito
- cartão de crédito
- cliente
- Clientes
- dados,
- violação de dados
- privacidade de dados
- protecção de dados
- segurança dos dados
- banco de dados
- bases de dados
- Datas
- dias
- Design
- Detecção
- Determinar
- Dispositivos/Instrumentos
- DID
- descobrir
- descoberto
- descoberta
- Ecrã
- Não faz
- down
- durante
- Cedo
- efeito
- criptografia
- EU
- Europa
- Europa
- União Européia
- especialistas
- financeiro
- dados financeiros
- Primeiro nome
- fixado
- QUADRO
- da
- RGPD
- Gênero
- Geral
- Regulamento geral de proteção de dados
- Locatário
- aconteceu
- ajudar
- ajudou
- ajuda
- esperança
- hotel
- Como funciona o dobrador de carta de canal
- HTTPS
- identificação
- identificar
- implementado
- importância
- inclui
- aumentando
- info
- INFORMAÇÕES
- Internacionais
- Internet
- Internet Security
- investigar
- investigação
- envolvido
- IT
- Guarda
- Saber
- grande
- Maior
- mais recente
- Escritórios de
- Leis
- principal
- aprendido
- Limitado
- olhar
- moldadas
- fazer
- malwares
- Gerente
- Importância
- significa
- medidas
- Membros
- mencionado
- Médio Oriente
- milhão
- milhões
- mente
- mês
- mais
- a maioria
- rede
- notícias
- número
- números
- contínuo
- Outros
- Papel
- festa
- passaporte
- Senha
- senhas
- pagamento
- Cartão de pagamento
- Pessoas
- possivelmente
- significativo
- pessoal
- ponto
- pontos
- pasta
- possibilidade
- possível
- preferido
- imprensa
- Comunicados à CMVM
- pressão
- política de privacidade
- Agenda
- Propriedades
- propriedade
- proteção
- fornecendo
- rapidamente
- recebido
- recentemente
- em relação a
- Regulamento
- liberar
- remanescente
- removendo
- Denunciar
- reserva
- resposta
- segurança
- vários
- desde
- local
- So
- alguns
- algo
- específico
- padrão
- declarações
- ficar
- fiquei
- Ainda
- História
- A
- a lei
- o mundo
- coisas
- milhares
- três
- tempo
- ferramenta
- Toronto
- para
- cidades
- tipicamente
- para
- entende
- união
- usar
- vítimas
- W
- Assistir
- O Quê
- se
- QUEM
- dentro
- sem
- mundo
- no mundo todo
- escrita
- anos
- investimentos