A Marriott Internationalről az utóbbi időben a technológiai újítások kapcsán írtunk. Ilyen újítás volt például, hogy a világ egyik legnagyobb szállodalánca már több hoteljében is bevezette azt a szobakulcsot helyettesítő mobil appot, amelynek köszönhetően recepciós bejelentkezésre sincs szükség. Szó volt arról is, hogy az ügyfélélmény javításáa érdekében az Amazon Echo okoshangszórójával szerelik fel egyes luxus és prémium kategóriájú létesítményeiket, hogy a digitális asszisztens intézze a vendégek ügyeit az információk átadásától a légkondi vagy a világítás beállításain át a szobaszolgálatig.

A legfrissebb hír egy informatikai vonatkozású rekord a Marriott háza tájáról, ám ezúttal negatív rekordról van szó: a szállodalánc adatbázisaiban az elmúlt négy évben összesen 500 millió ügyfél különböző adataihoz férhettek hozzá a hackerek. A szóban forgó adatbázisok a 2016-ban felvásárolt Starwood regisztrációs rendszeréhez kapcsolódnak (a Starwood Magyarországon a kecskeméti Sheraton hotellel képviselteti magát), és a pénteki hírek szerint az adatszivárgás 2014 óta zajlott, ami értelemszerűen a két tásrsaság egyesülése során sem tűnt fel senkinek.

Ez a megelőző évek legnagyobb szabású ilyen incidense, mióta a Yahoo egy kezdetben ugyancsak 500 milliós, később már potenciálisan 3 miliárd felhasználót érintő adatlopásról volt kénytelen beszámolni. Persze az adatbiztonsági szakemberek mindehhez hozzáteszik: ez minden idők második legnagyobb szabású incidense azok között, amelyekről egyáltalán tudomásunk van.

Most vizsgálják, hogy ért-e bármit is a titkosítás

A Marriott esetében a nevek, lakcímek, telefonszámok, mailcímek, útlevélszámok, Starwood-fiókok, születési adatok és szobafoglalási vagy utazási információk különféle kombinációihoz férhettek hozzá. Erről a vállalat saját bevallása szerint szeptember legelején szereztek tudomást, de a részleteket csak a hónap második felére sikerült tisztázni. A vendégek kártyaadatait a szállodalánc – természetesen – titkosítva kezelte, azonban a Marriott közlése szerint még nem világos, hogy a hackereknek sikerült-e megszerezniük a kulcsokat azokhoz a kártyákhoz, amelyek számához ugyancsak hozzáfértek.

Az ügyet már vizsgálja az amerikai fogyasztóvédelmi hatóság, és a hírek alapján már az első csoportos keresetet is benyújtották a Marriott ellen a marylandi bíróságon. A Yahoo példájából kiindulva nem jó előjel, hogy annak idején a dotkom nagyvállalat esetében már ahhoz is évekre volt szükség, hogy egyáltalán pontosan meghatározzák az incidens kiterjedését és az érintettek körét. A Marriott ámár megkezdte a kapcsolatfelvételt az ügyfelekkel, akiknek állítólag egyéves ingyenes hozzáférést ajánl fel a világhálón áruba bocsátott személyes adatokat monitorozó Web Watcher alkalmazáshoz, az amerikai felhasználóknak pedig konzultációs szolgáltatást is biztosít.

Ez a cikk független szerkesztőségi tartalom, mely a T-Systems Magyarország támogatásával készült. Részletek »

A szakemberek ezzel kapcsolatban arra hívják fel a figyelmet, hogy hasonló esetben a felhasználók nem jól teszik, ha a vállalati felelősségvállalás ilyen-olyan megnyilvánulásaira várnak – különösen, hogy a 2014-ig visszakövethető ügyben szereplúő személyes adatok valószínűleg már menthetetlenül korrumpálódtak. A teendő a jelszavak azonnali megváltoztatása, a bank- vagy befektetési számlák áttekintése, a visszaélés gyanújának jelzése a pénzügyi szolgáltatók felé.

Az eset egy másik tanulsága a társaságok viszonya lehet a GDPR-hez. Miközben a szervezetek elvesznek az általános európai
adatvédelmi rendeletnek való megfelelőség különféle feltételei között, esetenként megfeledkeznek a praktikus biztonsági követelményekről, mivel sokszor formálisan közelít a biztonsági megfelelőséghez. A kommentárok szerint nem ritka az sem, mert az előbbi az IT-biztonsági költségvetés szempontjából is az utóbbiak elől szívja el a levegőt.

A Yahoo-val szemben a Marriott ügye már bőven a GDPR hatálya alá esik, az európai szabályozók pedig rá is vetik magukat a dologra – ennek oka egyrészt a mostani adatszivárgás nagyságrendje, másrészt az a feltételezett késlekedés, amely a részletek közzétételét megelőzte. A kiszabható maximális büntetés, ami ebben az esetben a Marriott előző évi globális forgalmának akár 4 százaléka is lehet, a The Guardia számításai szerint 117 millió fontnak (nagyjából 140 millió dollárnak) megfelelő összeget tesz ki.