Data Breach en hoteles Marriott: Más de 500 millones de registros de huéspedes fueron filtrados

Esta brecha de datos no es nueva, la primera vez que la identificaron fue en septiembre de este año y se venía gestando hace cuatro años, pero recién el viernes pasado (30 nov.) la cadena hotelera lo confirmó. 

¡Más de 500 millones de registros de huéspedes fueron filtrado!, Se estima que este Data Breach es uno de los más grandes de los últimos años, superado por el robo de datos (de tres billones de cuentas de usuarios) a Yahoo en el 2013.

Cadena de sucesos

El incidente afecta específicamente a los hoteles subsidiarios de Marriott International, Starwood. La compañía descubrió la brecha el 8 de septiembre de este año, luego de recibir una alerta de una herramienta de seguridad interna.

Ya el 19 de noviembre se reveló gracias a una investigación que hubo acceso no autorizado a la base de datos, la cual ”contiene información sobre los huéspedes que alojaron en Starwood”.

El 30 de noviembre la cadena confirmó el data breach; horas después de ser anunciada la violación de datos, dos individuos de Oregon demandaron a Marriott, seguida por otra en Maryland. La demanda busca que Marriott pague $12.5 billones de dólares, correspondiente al total de costos y pérdidas de los 500 millones de registros (unos 25 dólares por registro).

La base de datos contiene información personal de al menos 327 millones de huéspedes (algunos tienen múltiples registros), incluidos sus nombres, direcciones de correo, números de teléfono, direcciones de correo electrónico, números de pasaportes, fechas de nacimiento, sexo, información de llegada y salida, fecha de reserva y preferencias de comunicación.

Es preocupante, ya que las marcas de Starwood incluyen cadenas hoteleras como W Hotels, St. Regis, Sheraton Hotels & Resorts, Westin Hotels & Resorts, Element Hotels, Aloft Hotels, The Luxury Collection, Tribute Portfolio, Le Méridien Hotels & Resorts, Four Points by Sheraton y Design Hotels.

Cabe destacar que esta brecha de datos no es nueva, y de acuerdo al comunicado oficial el robo de información se viene gestando desde el 2014. Por ende, todos las personas que utilizaron ese servicio en estos últimos cuatro años pueden tener sus datos comprometidos. 

¿Y las tarjetas de crédito?

Algunos registros incluyen números de tarjetas de crédito y fechas de vencimiento de estas.

De acuerdo a la información oficial “los números de las tarjetas de pago se cifraron utilizando el cifrado estándar de cifrado avanzado (AES-128)”, agregando que “en este momento, Marriott no ha podido descartar la posibilidad de que se hayan tomado ambos”.

¡La GDPR ya está vigente! 

Debido a que la violación de datos está sujeta a las reglas de la Regulación General de Protección de Datos (GDPR) de la Unión Europea, Marriott podría enfrentar una multa máxima de 17 millones de libras o el 4 por ciento de sus ingresos globales anuales (el que sea mayor), si se rompe alguna de estas reglas.

Como mencionabamos anteriormente, este Data Breach es uno de los más grandes de los últimos diez años. A continuación te dejamos un listado.