Marriott đã đồng ý trả 52 triệu USD và tăng cường các biện pháp bảo mật dữ liệu của mình trong các thỏa thuận giải quyết liên quan đến ba vụ vi phạm dữ liệu kể từ năm 2014.
Các thỏa thuận dàn xếp được công bố hôm nay gồm hai phần: Một nghị quyết với 49 Bộ trưởng Tư pháp Hoa Kỳ và Quận Columbia yêu cầu gã khổng lồ ngành khách sạn phải trả 52 triệu đô la cho các thực thể đó. Ngoài ra, Ủy ban Thương mại Liên bang sẽ yêu cầu Marriott và công ty con Starwood thực hiện “chương trình bảo mật thông tin mạnh mẽ”. Ngoài ra, công ty đã đồng ý cung cấp cho tất cả khách hàng ở Hoa Kỳ cách yêu cầu xóa thông tin cá nhân liên quan đến địa chỉ email hoặc số tài khoản phần thưởng khách hàng thân thiết của họ.
Samuel Levine, Giám đốc Cục Bảo vệ Người tiêu dùng của FTC cho biết: “Các biện pháp bảo mật kém của Marriott đã dẫn đến nhiều hành vi vi phạm ảnh hưởng đến hàng trăm triệu khách hàng.
“Hành động của FTC hôm nay, phối hợp với các đối tác nhà nước của chúng tôi, sẽ đảm bảo rằng Marriott cải thiện các biện pháp bảo mật dữ liệu của mình tại các khách sạn trên toàn cầu.”
Connecticut đồng lãnh đạo vụ việc đa bang. Tổng chưởng lý của nó, William Tong, cho biết, “Các công ty có nghĩa vụ thực hiện các biện pháp hợp lý để bảo vệ an ninh dữ liệu của người tiêu dùng. Marriott rõ ràng đã không làm được điều đó, dẫn đến việc mạng máy tính Starwood bị xâm phạm và thông tin cá nhân của hàng triệu khách hàng của họ bị lộ. Thỏa thuận dàn xếp gồm 50 tiểu bang này, do Connecticut đồng lãnh đạo, buộc phải xây dựng một hệ thống bảo vệ dựa trên rủi ro mạnh mẽ để chống lại các mối đe dọa ngày càng gia tăng đối với an ninh mạng. Chúng tôi sẽ tiếp tục hợp tác chặt chẽ với các đối tác đa bang trên khắp đất nước để đảm bảo các công ty thực hiện mọi biện pháp phòng ngừa hợp lý nhằm bảo vệ thông tin cá nhân của chúng tôi.”
Marriott đã công bố kế hoạch mua lại Starwood vào năm 2015 – và ngay sau khi Starwood thông báo cho khách hàng, họ đã gặp phải vụ vi phạm dữ liệu kéo dài 14 tháng liên quan đến thông tin thẻ thanh toán của hơn 40.000 khách hàng.
Sau khi thương vụ sáp nhập trị giá 12,2 tỷ USD được thực hiện vào năm 2016, Marriott trở thành người chịu trách nhiệm về các hoạt động bảo mật dữ liệu của cả hai thương hiệu. Hai năm sau, vào tháng 11 năm 2018, Marriott tiết lộ họ đã xác định được vụ vi phạm thứ haibắt đầu vào năm 2014 và liên quan đến việc sao chép thông tin từ khoảng 340 triệu khách Starwood trên toàn thế giới cho đến khi bị phát hiện 4 năm sau đó.
Theo Ủy ban Thương mại Liên bang Hoa Kỳ, các giám định viên pháp y xác định vi phạm này là do “tác nhân độc hại” xâm phạm máy chủ web bên ngoài của Starwood và cài đặt phần mềm độc hại trên mạng của nó. Họ cho biết những người giới thiệu đã cài đặt “trình ghi nhật ký khóa, phần mềm độc hại quét bộ nhớ và trojan truy cập từ xa” trên hơn 480 hệ thống trên 58 địa điểm trong hệ thống của Starwood, bao gồm cả công ty, trung tâm dữ liệu, trung tâm liên hệ khách hàng và các địa điểm thuộc khách sạn.
Thông tin cá nhân bị đánh cắp trong lần vi phạm này bao gồm hơn 5,25 triệu số hộ chiếu, số thẻ thanh toán, địa chỉ email, tên người dùng và ngày sinh cũng như số khách hàng thân thiết của Starwood, thông tin lưu trú, thông tin chuyến bay, v.v.
Marriott đã báo cáo vụ vi phạm thứ ba vào tháng 3 năm 2020, khi họ cho biết tin tặc đã sử dụng thông tin đăng nhập của nhân viên tại một cơ sở nhượng quyền để giành quyền truy cập vào mạng của Marriott.
Những kẻ xâm nhập bắt đầu đánh cắp thông tin vào tháng 9 năm 2018 – cùng tháng mà vụ vi phạm thứ hai được phát hiện – và tiếp tục cho đến tháng 12 năm 2018, sau đó tiếp tục lại vào tháng 1 năm 2020 cho đến khi chúng bị phát hiện vào tháng 2 năm 2020.
Trong thời gian đó, họ đã truy cập hơn 5,2 triệu hồ sơ khách mà FTC cho biết có chứa “một lượng đáng kể” thông tin cá nhân.
Khiếu nại của FTC cáo buộc Marriott đã không thực hiện nhiều việc, bao gồm triển khai kiểm soát mật khẩu phù hợp, vá phần mềm lỗi thời, giám sát môi trường mạng, triển khai tường lửa thích hợp và áp dụng xác thực đa yếu tố đầy đủ.
Các thỏa thuận với FTC và tổng chưởng lý chỉ ra rằng Marriott không thừa nhận trách nhiệm pháp lý đối với các cáo buộc cơ bản. Marriott quản lý và nhượng quyền hơn 7.000 cơ sở kinh doanh trên khắp nước Mỹ và hơn 130 quốc gia khác.
Source: https://www.phocuswire.com/marriott-pay-52m-resolve-multiple-data-breaches.
