Logotyp serwisu CyberDefence24
Reklama

Polityka i prawo

Sieć popularnych hoteli ukarana za naruszenie danych

AK

Andrzej Kozłowski

Fot. Kgbo/Wikipedia Commons/CC 4.0
Fot. Kgbo/Wikipedia Commons/CC 4.0

Marriott zapłaci ponad 18 milionów funtów za naruszenie ochrony danych - oznajmił brytyjski organ ochrony danych. Początkowo kara miała być większa, ale ostatecznie zmniejszono ją z powodu pandemii koronawirusa.

Biuro komisarza ds. informacji (ICO) ukarało amerykańską sieć hoteli Marriott International karą w wysokości 18,4 miliona funtów za wyciek danych. Hakerzy włamali się w 2014 roku do systemu rezerwacji Starwood Hotel, który 2 lata później został nabyty przez amerykańską spółkę. Dopiero jednak w 2018 roku zauważono podejrzaną aktywność świadczącą o działalności hakerów.  Do tego czasu cyberprzestępcy mieli dostęp do: imion i nazwisk, adresów e-mailowych, numerów telefonów, niezaszyfrowanych numerów paszportów, numerów kart lojalnościowych, informacji o czasie przyjazdu i wyjazdu czy statucie VIPa. W wyniku ataków hakerzy uzyskali dostęp do 339 milionów rekordów danych. Biuro komisarza ds. informacji zauważa, że niemożliwym jest oszacowanie dokładnej liczby poszkodowanych, ponieważ kilkanaście rekordów danych może należeć do jednej osoby.

Czytaj też: Cyberatak na Marriott w 2018 roku objął mniej osób niż szacowano

Śledztwo ICO stwierdziło, że były błędy i zaniedbania ze strony Marriottu, który nie wdrożył odpowiednich środków technicznych i organizacyjnych zapewniających odpowiednią ochroną danych osobowych zgodne z wymaganiami RODO. Incydent był badany w zgodzie z prawem unijnym, ponieważ miał miejsce jeszcze przed wystąpieniem Wielkiej Brytanii z Unii Europejskiej.

Na obniżenie ostatecznej kary wpływ miały kroki podjęte przez Marriott, aby zminimalizować efekty incydentów oraz pandemia COVID-19, która mocno uderzyła w branżę hotelarską. 

Atak, który rozpoczął się w 2014 roku polegał na umieszczeniu złośliwego fragmentu kodu (web shell) w systemach Starwood co umożliwiło hakerom zdalny dostęp i następnie zainstalowanie złośliwego oprogramowania, pozwalającego na dostęp do systemów z poziomu uprzywilejowanego użytkownika. W ten sposób cyberprzestępcy uzyskiwali  dostęp do wszystkich urządzeń w sieci, do których ten uprzywilejowany użytkownik miał dostęp. Kolejne narzędzia, jakie były instalowane przez hakerów pozwalały na zbieranie danych logowania klientów i uzyskanie dostępu do bazy zawierających informacje dot. rezerwacji a następnie jej kradzież. Marriott zareagował bardzo szybko i natychmiast skontaktował się z pokrzywdzonymi klientami - co zostało docenione przez ICO. Cyberatak na Starwood pozostaje jednym z największych wymierzonych w branże hotelową.

Reklama

Komentarze

    Reklama

    Czytaj także

    #CyberMagazyn: ElevenLabs - polski jednorożec w generatywnej sztucznej inteligencji
    cyber cyberbezpieczeństwo
    #CyberMagazyn: Prawo i regulacje w nordyckiej cyberprzestrzeni
    Atak na użytkowników LastPass. Wyjątkowo sprytna metoda
    Uczelnia Techniczno-Handlowa im. H. Chodkowskiej
    Wielowymiarowość cyberbezpieczeństwa. Nadchodzi międzynarodowe wydarzenie
    NATO z centrum ds. cyberprzestrzeni. "Potrzebna świadomość sytuacyjna"
    Tomasz Kuźniar, założyciel i prezes Monit24
    Tomasz Kuźniar: Monitoring zauważy, że dana strona ma problem
    Wiceminister cyfryzacji Paweł Olszewski
    Nie będzie Agencji Cyberbezpieczeństwa. Przynajmniej nie w tym roku
    FBI ujawnia informacje o chińskich hakerach. "Czekają na dogodny moment"