Federalna Komisja Handlu ogłoszony w piątek sprawa została sfinalizowana zamówienie (pdf) wymaganie od Marriott International i spółki zależnej Starwood Hotels poprawy ich bezpieczeństwa cyfrowego, raporty Błyszczący Komputer. FTC oskarżyła firmy o niedbałe praktyki w zakresie bezpieczeństwa, które doprowadziły do trzech dużych naruszeń wykrytych w latach 2015, 2018 i 2020, „dotyczących ponad 344 milionów klientów na całym świecie”, a także wycieków danych z paszportów, kart płatniczych i innych informacji.
Najkrótsze naruszenie trwało 14 miesięcy przed wykryciem, podczas gdy w przypadku najdłuższego napastnicy utrzymywali dostęp przez cztery lata, począwszy od 2018 r. Ulepszone programy bezpieczeństwa, które zgodzili się wdrożyć, obejmują tworzenie zasad przechowywania informacji tylko tak długo, jak długo jest to potrzebne i publikuje link umożliwiający klientom z USA żądanie usunięcia informacji powiązanych z ich adresem e-mail lub kontem lojalnościowym.
Hotele są jednym z wielu kluczowych celów hakerów, przy jednym włamaniu w zeszłym roku, w wyniku którego Lina Khan, przewodnicząca FTC, znalazła się wśród wielu osób oczekujących na zameldowanie, gdy wymusił to atak systemu ransomware Hotele MGM wrócić do używania pióra i papieru.
FTC ogłosiła swoje zarzuty w Październikoskarżając firmy o „oszukiwanie konsumentów” fałszywymi twierdzeniami o „rozsądnym i odpowiednim bezpieczeństwie danych”. Ich rzekome niepowodzenia obejmowały stosowanie złych praktyk związanych z hasłami i zaporami sieciowymi oraz brak łatania przestarzałego systemu i systemów. Tego samego dnia, w którym FTC ujawniła zarzuty, biuro prokuratora generalnego Connecticut ogłosiło, iż Marriott zgodził się na ugodę w wysokości 52 milionów dolarów.
Oprócz poprawy bezpieczeństwa firmom zabrania się w tej chwili „fałszywego przedstawiania sposobu gromadzenia, przechowywania, wykorzystywania, usuwania lub ujawniania danych osobowych konsumentów; oraz zakres, w jakim firmy chronią prywatność, bezpieczeństwo, dostępność, poufność lub integralność danych osobowych. Inne wymagania obejmują prowadzenie dokumentacji dotyczącej zgodności i poddawanie się inspekcjom FTC. Zarządzenie będzie obowiązywać przez 20 lat.
