Ce 1er février 2010, fichier photo, montre l'hôtel Westin Philadelphia à Philadelphie. Les informations de 500 millions de clients dans les hôtels Starwood ont été compromises et Marriott a déclaré avoir découvert qu'un accès non autorisé aux données au sein de son réseau Starwood avait lieu depuis 2014. La société a déclaré vendredi :30 novembre 2018, que les numéros de carte de crédit et les dates d'expiration de certains clients peuvent avoir été pris. (AP Photo/Matt Rourke, Déposer)
Une faille de sécurité à l'intérieur de l'empire hôtelier Marriott a compromis les informations de 500 millions de clients dans le monde. exposer leurs numéros de carte de crédit, numéros de passeport et dates de naissance jusqu'à quatre ans, l'entreprise a déclaré vendredi.
La crise est rapidement devenue l'une des plus importantes violations de données jamais enregistrées. Par comparaison, le surprenant piratage d'Equifax de l'année dernière a touché plus de 145 millions de personnes.
Les analystes ont été alarmés par la durée de la violation. De nombreuses failles de sécurité s'étendent sur des mois, en moyenne 90 à 200 jours, mais celui-ci a commencé en 2014.
Les marques hôtelières concernées étaient exploitées par Starwood avant son acquisition par Marriott en 2016. Elles comprennent W Hotels, Saint-Régis, Sheraton, Westin, Élément, En haut, La Collection Luxe, Le Méridien et Four Points. Les propriétés à temps partagé de la marque Starwood ont également été incluses.
Aucune des chaînes de marque Marriott n'a été menacée.
Pour les deux tiers des personnes touchées, les données exposées pourraient inclure des adresses postales, les numéros de téléphone, adresses e-mail et numéros de passeport. Les informations de compte Starwood Preferred Guest peuvent également être incluses, date de naissance, genre, heures d'arrivée et de départ et dates de réservation.
Les numéros de carte de crédit et les dates d'expiration de certains clients peuvent avoir été pris, selon l'entreprise.
"Nous n'avons pas été à la hauteur de ce que nos invités méritent et de ce que nous attendons de nous-mêmes, " Le PDG Arne Sorenson a déclaré dans un communiqué. " Nous faisons tout notre possible pour soutenir nos clients, et utiliser les leçons apprises pour mieux aller de l'avant."
Il n'est pas courant que les numéros de passeport fassent partie d'un piratage, mais ce n'est pas rare. La compagnie aérienne basée à Hong Kong, Cathay Pacific Airways, a déclaré en octobre que 9,4 millions d'informations sur les passagers avaient été violées, y compris les numéros de passeport.
Les numéros de passeport peuvent être ajoutés à des ensembles complets de données sur une personne que les mauvais acteurs vendent sur le marché noir, conduisant à une usurpation d'identité. Et tandis que l'industrie des cartes de crédit peut annuler des comptes et émettre de nouvelles cartes en quelques jours, c'est un processus beaucoup plus difficile, souvent imprégné de bureaucratie gouvernementale, pour obtenir un nouveau passeport.
En ce 31 juillet 2013, fichier photo, le logo de l'hôtel W, propriété de Starwood Hotels &Resorts Worldwide, est vu à Times Square à New York. Les informations de 500 millions de clients dans les hôtels Starwood ont été compromises et Marriott a déclaré avoir découvert qu'un accès non autorisé aux données au sein de son réseau Starwood avait lieu depuis 2014. La société a déclaré vendredi :30 novembre 2018, que les numéros de carte de crédit et les dates d'expiration de certains clients peuvent avoir été pris. (AP Photo/Mark Lennihan, Déposer)
Mais un facteur rédempteur concernant les passeports est qu'ils doivent souvent être vus en personne, a déclaré Ryan Wilk de NuData Security. "C'est un document hautement sécurisé avec de nombreuses fonctionnalités de sécurité, " il a dit.
Les notifications par e-mail pour les personnes susceptibles d'avoir été affectées commencent à être déployées vendredi.
Le chiffre de 500 millions comprend le nombre de clients ayant effectué une réservation dans l'un des hôtels concernés. Mais il peut également s'agir d'une seule personne ayant réservé plusieurs séjours, dit la compagnie.
Demandé plus de détails, Le porte-parole de Marriott, Jeff Flaherty, a déclaré vendredi que la société n'avait pas fini d'identifier les informations en double dans la base de données.
Lorsque la fusion a été annoncée pour la première fois en 2015, Starwood comptait 21 millions de personnes dans son programme de fidélité. L'entreprise en gère plus de 6, 700 propriétés à travers le monde, la plupart en Amérique du Nord.
Alors que la première impulsion pour les personnes potentiellement affectées par la violation pourrait être de vérifier les cartes de crédit, les experts en sécurité disent que d'autres informations dans la base de données pourraient être plus dommageables.
"Les noms, adresses, les numéros de passeport et autres informations personnelles sensibles qui ont été exposées sont plus préoccupantes que les informations de paiement, qui a été crypté, ", a déclaré l'analyste Ted Rossman de CreditCards.com. "Les gens devraient s'inquiéter du fait que des criminels pourraient utiliser ces informations pour ouvrir des comptes frauduleux à leur nom."
Un outil de sécurité interne a signalé une brèche potentielle début septembre, mais la société n'a pas été en mesure de décrypter les informations qui définiraient quelles données avaient éventuellement été exposées jusqu'à la semaine dernière.
Marriott, basé à Bethesda, Maryland, a déclaré dans un dossier réglementaire qu'il était prématuré d'estimer l'impact financier de la violation sur l'entreprise. Il a noté qu'il avait une cyber-assurance, et travaille avec ses assureurs pour évaluer la couverture.
La violation de Starwood se distingue même parmi les plus gros piratages de sécurité jamais enregistrés.
En ce mardi, 30 avril 2013, fichier photo, un homme travaille sur un nouveau panneau Marriott devant l'ancien hôtel Peabody à Little Rock, Ark. Marriott affirme que les informations de jusqu'à 500 millions de clients dans ses hôtels Starwood ont été compromises. Il a dit vendredi, 30 novembre 2018, qu'il y a eu une violation de sa base de données en septembre, mais a également découvert grâce à une enquête qu'il y avait eu un accès non autorisé au réseau Starwood depuis 2014. (AP Photo/Danny Johnston, Déposer)
Yahoo a subi des violations de données en 2013 et 2014 qui ont affecté environ 3 milliards de comptes. Target a également eu un incident en 2013 qui a affecté plus de 41 millions de comptes de cartes de paiement de clients et a exposé les coordonnées de plus de 60 millions de clients.
Les élus n'ont pas tardé à appeler à l'action.
Le procureur général de New York a ouvert une enquête. Virginie le sénateur Mark Warner, co-fondateur du comité sénatorial sur la cybersécurité et premier démocrate de la commission sénatoriale du renseignement, a déclaré que les États-Unis ont besoin de lois qui limiteront les données que les entreprises peuvent collecter sur leurs clients.
"Il est grand temps que nous promulguions des lois sur la sécurité des données qui garantissent que les entreprises prennent en charge les coûts de sécurité plutôt que de faire supporter à leurs consommateurs le fardeau et les dommages résultant de ces défaillances, " Warner a déclaré dans un communiqué préparé.
Marriott a connu un processus difficile pour fusionner son système informatique avec les ordinateurs Starwood. Les membres des deux programmes de fidélité se sont plaints de points manquants, problèmes avec les séjours crédités sur leurs comptes et problèmes avec les nuits gratuites gagnées sur les cartes de crédit n'apparaissant pas.
Sorenson a déclaré que Marriott essaie toujours de supprimer progressivement les systèmes Starwood.
Marriott a mis en place un site Web et un centre d'appels pour toute personne qui pense qu'elle est en danger.
© 2018 La Presse Associée. Tous les droits sont réservés.
