lunes, 3 de diciembre de 2018

Brecha de datos en Starwood Hotels de Marriott International


La cadena de hoteles más grande del mundo, Marriott International, reveló hoy que piratas informáticos desconocidos comprometieron la base de datos de reservas de sus hoteles subsidiarios de Starwood y se llevaron los detalles personales de unos 500 millones de huéspedes.

Starwood Hotels and Resorts Worldwide fue adquirida por Marriott International por 13 mil millones de dólares en 2016. La marca incluye St. Regis, Sheraton Hotels & Resorts, W Hotels, Westin Hotels & Resorts, Aloft Hotels, cartera de tributos, Element Hotels, Le Méridien Hotels & Resorts, The Luxury Collection, Four Points by Sheraton y Design Hotels. Se cree que el incidente es una de las brechas de datos más grandes en la historia, detrás del hacking de Yahoo de 2016 en el que se robaron casi 3 mil millones de cuentas de usuarios.

La violación de los datos propiedad de Starwood ha estado ocurriendo desde 2014 después de que ciertas personas lograron obtener acceso no autorizado a la base de datos de reservas de Starwood y copiaron y cifraron la información.

Marriott descubrió la brecha el 8 de septiembre de este año luego de recibir una alerta de una herramienta de seguridad interna en relación con un intento de acceso a la base de datos de reservas de Starwood en los Estados Unidos.

El 19 de noviembre, la investigación sobre el incidente reveló que hubo acceso no autorizado a la base de datos, que contiene información de los huéspedes relacionada con las reservas de Starwood el 10 de septiembre de 2018 o antes.

La base de datos robada de los hoteles contiene información personal confidencial de casi 327 millones de huéspedes, incluidos sus nombres, direcciones de correo, números de teléfono, direcciones de correo electrónico, números de pasaportes, fechas de nacimiento, sexo, información de llegada y salida, fecha de reserva y preferencias de comunicación.

Aún más alarmante es que, de algunos usuarios, los datos robados también incluyen números de tarjetas de pago y fechas de vencimiento de las tarjetas de pago. Sin embargo, según Marriott: "los números de las tarjetas de pago se cifraron utilizando el cifrado estándar de cifrado avanzado (AES-128)". Los atacantes necesitan dos componentes para descifrar los números de las tarjetas de pago, pero Marriott no ha podido descartar la posibilidad de que hayan tomado ambos.

Marriott confirmó que su investigación sobre el incidente solo identificó el acceso no autorizado a la red de Starwood separada y no a la red de Marriott. También ha comenzado a informar a los clientes potencialmente afectados del incidente de seguridad. La compañía hotelera notificó a las autoridades reguladoras y también a la policía el incidente y continúa apoyando su investigación.

Debido a que la violación de datos está sujeta al Reglamento General de Protección de Datos (GDPR) de la Unión Europea, Marriott podría enfrentarse a una multa máxima de más de 19 millones de euros o el 4 por ciento de sus ingresos globales anuales, el que sea mayor.

No hay comentarios:

Publicar un comentario