A distanza di un anno e mezzo dalla prima violazione, l’impero dell’hotel Marriott ha subito una seconda violazione dei dati dalla portata di 5,2 milioni di account di clienti. A renderlo noto è la stessa società che ha annunciato la notifica dell’incidente a mezzo di comunicato sul sito Web.
L’attacco è stato effettuato tramite un’applicazione di terze parti utilizzata dalle proprietà dell’hotel per fornire servizi agli ospiti: “Gli hotel gestiti e in franchising con i marchi Marriott utilizzano un’applicazione per fornire servizi agli ospiti degli hotel. Alla fine di febbraio 2020, abbiamo identificato che è possibile accedere a una quantità inattesa di informazioni sugli ospiti utilizzando le credenziali di accesso di due dipendenti in una proprietà in franchising. Riteniamo che questa attività sia iniziata a metà gennaio 2020”.
Al momento della scoperta dell’hack, la catena alberghiera ha confermato che le credenziali di accesso erano disabilitate, ha avviato immediatamente un’indagine, implementato un maggiore monitoraggio e organizzato risorse per informare e assistere gli ospiti.
Marriott ha affermato che i dati degli ospiti che potrebbero essere stati compromessi non dovrebbero includere password o PIN dell’account, informazioni sulla carta di pagamento, informazioni sul passaporto, ID nazionali o numeri di patente di guida e che potrebbero essere state coinvolte invece le seguenti informazioni, sebbene non tutte queste informazioni fossero presenti per ogni ospite coinvolto:
- Dettagli di contatto (ad es. Nome, indirizzo postale, indirizzo e-mail e numero di telefono)
- Informazioni sul conto fedeltà (ad es. Numero di conto e saldo punti, ma non password)
- Dettagli personali aggiuntivi (ad es. Società, sesso e giorno e mese del compleanno)
- Partnership e affiliazioni (ad es. Programmi e numeri di fidelizzazione delle compagnie aeree collegate)
- Preferenze (ad es. Preferenze di soggiorno / camera e lingua preferita).
L’indagine avviata per fare chiarezza sull’accaduto al momento esclude comunque il furto delle password. Il gigante del settore alberghiero ha anche creato un portale online self-service per consentire agli ospiti di determinare se le loro informazioni sono state coinvolte nell’incidente, creato risorse dedicate per call center per consentire agli ospiti di ottenere ulteriori informazioni e adottato una serie di misure aggiuntive per aiutare i loro ospiti.