123 milioni di dollari di multa alla catena Marriott per Mega-Breach

Marriott Data Breach

Il Garante Inglese per la protezione dei dati (ICO) continua a scatenarsi con le sanzioni ed infligge una multa di  oltre 99 milioni di sterline (123 milioni di dollari) al gruppo alberghiero Marriott.

Dopo aver inflitto una pesante sanzione alla British Airways, con un’ammenda record di 230 milioni di dollari per una violazione dei dati, l’autorità inglese multa il colosso alberghiero statunitense Marriott.

Il gruppo Marriott è la seconda azienda a vedersi appioppare una corposa multa per non aver rispettato il GDPR .

A seguito di un’indagine approfondita, l’ICO ha emesso un avviso relativo alla sua intenzione di multare il gruppo Marriott International per non aver vigilato a sufficienza sulla tutela dei dati personali dei suoi clienti. Il gruppo alberghiero, che ha subito un data breach lo scorso anno, dovrebbe pagare una multa di oltre 99 milioni di sterline (123 milioni di dollari) .

Nel documento statement of the regulator’s intention to fine Marriott International, il funzionario dell’ICO Elizabeth Denham ha dichiarato: “Il GDPR chiarisce che le organizzazioni sono responsabili dei dati personali in loro possesso. I dati personali hanno un valore reale, per cui le organizzazioni hanno il dovere di garantirne la sicurezza, proprio come farebbero con qualsiasi altra risorsa. Se ciò non dovesse accadere, non esiteremo a prendere misure energiche quando necessario per proteggere i diritti delle persone“.

La violazione riguarda società Starwood Hotels, acquisita da Marriott nel 2016.

Si ritiene che la vulnerabilità sia iniziata quando i sistemi del gruppo Starwood sono stati compromessi già nel 2014 a causa di una falla di sicurezza nei suoi sistemi informatici. Il data breach è stato notificato all’ICO da Marriott nel novembre 2018.

Nel 2018 quindi è stata scoperta una perdita di dati che perdurava già dal 2014.

Le informazioni rubate sono tantissime, si parla di 339 milioni di record dei clienti, e riguardavano nomi e cognomi, indirizzi email, numeri di telefono, numeri di passaporto, date di nascita, codici di prenotazione nonché numeri di carta di credito e date di scadenza.

L’indagine dell’ICO ha rilevato che, quantunque Marriott di fatto ereditò la falla di sicurezza acquisendo Starwood, non ha poi intrapreso sufficienti azioni per tutelare adeguatamente i dati dei numerosi clienti dopo l’acquisizione dell’azienda e avrebbe dovuto fare di più per proteggere i suoi sistemi.

Marriott ha il diritto di rispondere ed intende farlo difendendo vigorosamente la sua posizione. Il presidente e amministratore delegato di Marriott International, Arne Sorenson, ha dichiarato: Siamo delusi da questo avviso da parte dell’ICO, che contesteremo. Marriott ha collaborato con l’ICO durante le sue indagini sull’incidente, che ha comportato un attacco criminale contro il database di prenotazione degli ospiti Starwood.

Siamo profondamente dispiaciuti che questo incidente sia accaduto. Prendiamo molto sul serio la privacy e la sicurezza delle informazioni degli ospiti e continuiamo a lavorare duramente per soddisfare gli standard di eccellenza che i nostri ospiti si aspettano da Marriott.

Il database di prenotazione degli ospiti Starwood che è stato attaccato non è più utilizzato per le operazioni aziendali. Per ulteriori informazioni sull’incidente del database delle prenotazioni degli ospiti Starwood, visitare starwoodhotels