A FTC atacou duramente a rede de hotéis Marriott após uma série de violações de dados entre 2014 e 2020 que prejudicaram mais de 344 milhões de clientes em todo o mundo.
Em um comunicado à imprensa na quarta-feira anunciando um pedido de acordo com a empresa, a agência disse que a Marriott deve excluir quaisquer dados pessoais associados à conta de um cliente mediante solicitação e restaurar quaisquer pontos de fidelidade perdidos como resultado das violações. Além disso, a cadeia terá de reforçar drasticamente a sua segurança para proteger melhor os clientes de futuros ataques cibernéticos.
Além disso: Como usar o Wi-Fi público com segurança: 5 coisas que você deve saber antes de se conectar
A Marriott adquiriu a Starwood em 2015, criando a maior empresa hoteleira do mundo. Mas os anos têm sido problemáticos para a cadeia, pelo menos no que diz respeito à segurança cibernética.
Na sua reclamação, a FTC acusou a empresa de não ter protegido os dados dos clientes em pelo menos três violações de dados distintas. Como resultado, os hackers conseguiram roubar informações dos usuários, como números de cartões de pagamento, números de fidelidade, dados de passaporte, datas de nascimento e endereços de e-mail.
Especificamente, Marriott e Starwood não conseguiram configurar controles de senha, controles de acesso, controles de firewall ou segmentação de rede adequados, de acordo com a FTC. A cadeia também negligenciou a correção de software e sistemas desatualizados, o monitoramento de ambientes de rede e a implementação de autenticação multifatorial eficaz. A empresa enganou seus clientes, acrescentou a FTC, ao alegar ter uma segurança razoável e apropriada em vigor.
A partir de junho de 2014, a primeira violação afetou mais de 40 mil clientes da Starwood e passou despercebida por 14 meses. A partir de julho de 2014, a segunda violação levou ao roubo de 339 milhões de registros de contas de hóspedes Starwood e 5,25 milhões de números de passaporte não criptografados e não foi detectada até setembro de 2018.
A partir de setembro de 2018, a terceira violação impactou mais de 5,2 milhões de registros de hóspedes, capturando nomes, endereços, e-mail, endereços, números de telefone e informações de cartões de fidelidade. Este passou despercebido até fevereiro de 2020.
Com todas essas violações, a rede enfrentou uma série de ações judiciais e multas. Em outro acordo com 50 procuradores-gerais estaduais anunciado na quarta-feira, a Marriott terá que pagar uma multa de US$ 52 milhões. Este decorre da violação de seu banco de dados de contas de hóspedes Starwood. Com este acordo e aquele com a FTC, a empresa tem muito trabalho pela frente.
Além disso: Cibersegurança 101: tudo sobre como proteger sua privacidade e permanecer seguro online
Para clientes Marriott, o acordo FTC significa o seguinte:
- Você pode pedir à empresa que analise sua conta Bonvoy em busca de atividades não autorizadas ou suspeitas. Se algum ponto de fidelidade for roubado, a empresa será obrigada a restaurá-lo.
- Usando o site ou aplicativo móvel do Marriott, você pode solicitar a exclusão de quaisquer dados pessoais associados ao seu endereço de e-mail ou número de conta Bonvoy.
- Agora você poderá configurar a autenticação multifator em sua conta Bonvoy para protegê-la melhor.
- A política de privacidade da empresa deve explicar claramente porque está coletando e guardando seus dados pessoais.
Para reforçar a sua segurança cibernética, a Marriott também terá de abordar o seguinte:
- A cadeia deve estabelecer um programa de segurança abrangente que inclua autenticação multifatorial, criptografia e outras salvaguardas.
- Terá de cooperar com auditorias de terceiros ao seu programa de segurança da informação.
- Ele pode manter e armazenar informações pessoais dos clientes somente se houver necessidade comercial.
- A empresa pode usar as informações que coleta apenas para os fins declarados.
- Ele deve excluir qualquer informação coletada quando não for mais necessária.
- Ele não pode usar nenhum dado que deveria ter sido excluído por motivos de marketing.
Há ainda mais coisas para Marriott como resultado do acordo com os procuradores-gerais do estado.
Além disso: As melhores VPNs para viagens: testadas e revisadas por especialistas
Como parte do seu programa de segurança da informação, a empresa deve estabelecer princípios de confiança zero, relatórios regulares de segurança ao CEO e formação dos funcionários sobre o tratamento e segurança de dados.
Para proteger melhor os dados dos clientes, a Marriott deve implementar diversas medidas, incluindo proteção de componentes, inventário de ativos, criptografia, segmentação de rede, gerenciamento de patches, detecção de invasões, controles de acesso de usuários e rastreamento de arquivos e usuários na rede.
A cadeia hoteleira também deve aumentar a supervisão da segurança de fornecedores e franqueados, prestando especial atenção às avaliações de risco para fornecedores críticos de TI e provedores de nuvem. Se a Marriott adquirir outra empresa no futuro, deverá analisar a segurança desse negócio e desenvolver planos para identificar e corrigir quaisquer lacunas ou fraquezas no seu programa.
Além disso: você foi pego na última violação de dados? Veja como descobrir
Finalmente, a Marriott terá que submeter seu programa de segurança da informação a uma revisão independente de terceiros a cada dois anos, por até 20 anos.
“Os recentes acordos impostos ao Marriott servem como um lembrete da crescente responsabilidade que as empresas e seus líderes de segurança enfrentam em relação à segurança de dados”, disse Darren Guccione, CEO e cofundador da Keeper Security, à ZDNET.
“A implementação necessária de um programa abrangente de segurança da informação estabelece uma referência a ser seguida por outras empresas e é uma mensagem clara da FTC de que a negligência na proteção dos dados dos clientes pode levar a penalidades substanciais e danos duradouros à reputação”, acrescentou Guccione. “Os líderes empresariais estão agora cientes de que devem dar prioridade à segurança cibernética mais do que nunca. Para os consumidores, o direito de solicitar a eliminação de dados e a melhoria da proteção das contas de fidelidade proporcionam alguma garantia de que a sua privacidade está a ser levada a sério.”