Marriott ve yan kuruluşu Starwood Hotels, 2014 ile 2020 yılları arasında meydana gelen üç veri ihlalinden etkilenen 344 milyon müşteriyle Federal Ticaret Komisyonu (FTC) liderliğindeki anlaşma kapsamında 52 milyon dolar ceza ödemeyi ve yenilenmiş bir bilgi güvenliği programı oluşturmayı kabul etti.
Otel devi ayrıca ABD’li müşterilerine, sadakat ödülleri hesap numaraları veya e-posta adresleriyle ilişkili kişisel bilgilerinin silinmesini talep edebilecekleri bir yol sağlamayı da kabul etti. Ayrıca, müşterilerinin kişisel bilgilerini yalnızca amacını gerçekleştirmek için gerekli olduğu sürece saklayacak bir politika uygulamalıdırlar. Marriott’un ayrıca talep üzerine sadakat ödül hesaplarını incelemesi ve çalınan sadakat puanlarını geri ödemesi gerekecek.
“FTC’nin eyalet ortaklarımızla koordineli olarak bugünkü eylemi, Marriott’un dünya genelindeki otellerdeki veri güvenliği uygulamalarını geliştirmesini sağlayacaktır.” dedi Samuel LevineFTC’nin Tüketiciyi Koruma Bürosu müdürü.
İlk ihlal Haziran 2014’te başladı ve 40.000’den fazla Starwood müşterisinin ödeme kartı bilgilerini içeriyordu; Kasım 2015’e kadar 14 ay boyunca fark edilmedi.
Starwood, Temmuz 2014’te ikinci ihlaliyle karşı karşıya kaldı. Bu izinsiz giriş, 2018’de 339 milyon Starwood misafir hesabına kötü niyetli aktörler tarafından erişildiği ortaya çıkana ve 5 milyon şifrelenmemiş pasaport numarası da dahil olmak üzere çeşitli verileri açığa çıkarana kadar yıllarca fark edilmedi.
Ve nihayet, Marriott yine ihlal edildi 2018’de Şubat 2020’ye kadar tespit edilemeyen bir ihlal yaşandı. Bu olayda yaklaşık 2 milyonu Amerikalılara ait olmak üzere 5,2 milyon misafir kaydına erişildi.
İleriye dönük olarak, Marriott ve Starwood’un 20 yıl boyunca her yıl FTC’ye uyumluluğunu onaylaması ve her iki yılda bir bağımsız üçüncü taraf değerlendirmelerinden geçmesi gerekecek.