A Comissão Federal de Comércio (FTC) exigiu que a Marriott International e sua subsidiária Starwood Hotels & Resorts Worldwide aprimorem sua segurança da informação após acusações de falhas que resultaram em três grandes violações de dados entre 2014 e 2020, afetando mais de 344 milhões de clientes globalmente.
Na quarta-feira, a Marriott também concordou em pagar US$ 52 milhões a 49 estados e ao Distrito de Colúmbia para encerrar alegações relacionadas. Embora a FTC não tenha autoridade para aplicar penalidades civis, trabalhou em estreita colaboração com órgãos reguladores estaduais durante a investigação.
Segundo o acordo proposto pela FTC, a Marriott e a Starwood devem permitir que clientes dos EUA solicitem a exclusão de suas informações pessoais. Além disso, as empresas se comprometeram a reter dados dos clientes apenas pelo tempo necessário para atender às finalidades de sua coleta.
O programa de segurança de dados exigido pelo acordo será submetido a avaliações independentes a cada dois anos por 20 anos. A rede de hotéis também deverá revisar contas de programas de fidelidade mediante solicitação e, em alguns casos, restaurar pontos roubados.
A Marriott, que opera mais de 7.000 propriedades em mais de 130 países, adquiriu a Starwood em 2016, tornando-se responsável pela segurança de seus dados. No entanto, a FTC acusou ambas as empresas de não implementarem controles de senha, acesso, firewall e segmentação de rede adequados, além de falharem na atualização oportuna de sistemas e no uso de autenticação multifator.
Essas deficiências permitiram que hackers acessassem dados como números de passaportes, informações de pagamento, números de fidelidade e outros dados pessoais de centenas de milhões de consumidores, de acordo com a denúncia da FTC.
A primeira violação, que começou em junho de 2014, teria permanecido indetectada por 14 meses. A segunda, iniciada em julho de 2014, só foi descoberta em setembro de 2018, ambas afetando clientes da Starwood antes da aquisição pela Marriott. No total, os hackers acessaram 339 milhões de registros de hóspedes da Starwood, incluindo 5,25 milhões de números de passaportes não criptografados.
A terceira violação, que afetou diretamente a rede da Marriott, começou em setembro de 2018 e permaneceu sem detecção até fevereiro de 2020, comprometendo 5,2 milhões de registros de hóspedes em todo o mundo, incluindo dados de 1,8 milhão de americanos, como nomes, e-mails e informações de contas de fidelidade.
Em resposta, a Marriott afirmou em comunicado que “não admite responsabilidade” pelas acusações, mas que está implementando melhorias em seus programas de privacidade e segurança da informação, muitas das quais já estão "em vigor ou em andamento". A empresa destacou que "proteger os dados pessoais dos hóspedes continua sendo uma das principais prioridades" e reafirmou seu compromisso com a adaptação contínua a novas ameaças cibernéticas.
Via - TRM
Comments