Géant de l’hôtellerie Marriott a révélé aujourd’hui une violation de données massive exposant les informations personnelles et financières d’un demi-milliard de clients ayant effectué des réservations dans l’un de ses Starwood propriétés au cours des quatre dernières années.
Marriott a déclaré que la violation impliquait un accès non autorisé à une base de données contenant des informations sur les clients liées aux réservations effectuées dans les propriétés Starwood le 10 septembre 2018 ou avant, et que son enquête en cours suggère que les auteurs se trouvaient dans les réseaux de l’entreprise depuis 2014.
Marriott a déclaré que les intrus ont crypté les informations de la base de données piratée (susceptibles d’éviter la détection par tout outil de prévention des pertes de données lors de la suppression des informations volées du réseau de l’entreprise), et que ses efforts pour décrypter cet ensemble de données n’étaient pas encore terminés. Mais jusqu’à présent, le réseau hôtelier pense que le cache de données cryptées comprend des informations sur environ 500 millions de clients qui ont effectué une réservation dans un établissement Starwood.
«Pour environ 327 millions de ces clients, les informations comprennent une combinaison de nom, adresse postale, numéro de téléphone, adresse e-mail, numéro de passeport, informations de compte Starwood Preferred Guest, date de naissance, sexe, informations d’arrivée et de départ, date de réservation et communication. préférences », a déclaré Marriott dans un communiqué publié tôt vendredi matin.
Marriott a ajouté que les données des cartes de paiement des clients étaient protégées par une technologie de cryptage, mais que la société ne pouvait pas exclure la possibilité que les attaquants aient également réussi à s’emparer des clés de cryptage nécessaires pour décrypter les données.
La chaîne hôtelière n’a pas précisé quand en 2014 la violation aurait commencé, mais il convient de noter que Starwood a divulgué sa propre violation impliquant plus de 50 propriétés en novembre 2015, quelques jours seulement après son acquisition par Marriott. Selon la divulgation de Starwood à l’époque, cette violation antérieure remontait à au moins un an, jusqu’en novembre 2014.
En 2015, Starwood a déclaré que l’intrusion impliquait un logiciel malveillant installé sur les caisses enregistreuses de certains de ses restaurants, boutiques de cadeaux et autres systèmes de paiement qui n’étaient pas dans le cadre de ses réservations d’invités ou de ses systèmes d’adhésion.
Cependant, ce ne serait pas la première fois qu’une brèche dans une grande chaîne hôtelière passerait d’une infraction limitée aux restaurants et aux boutiques de cadeaux à une véritable intrusion impliquant les données de réservation des clients. En décembre 2016, BreachTrace a annoncé que les banques détectaient un schéma de transactions frauduleuses sur des cartes de crédit qui avaient une chose en commun : elles avaient toutes été utilisées pendant une courte période à Groupe hôtelier InterContinental (IHG), y compris Auberges de vacances et d’autres chaînes populaires à travers les États-Unis.
Il a fallu plus d’un mois à IHG pour confirmer cette découverte, mais la société a déclaré dans un communiqué à l’époque qu’elle pensait que l’intrusion était limitée aux logiciels malveillants installés sur les systèmes de point de vente des restaurants et des bars de 12 propriétés gérées par IHG entre août et décembre. 2016.
En avril 2017, IHG a reconnu que son enquête avait montré que les caisses enregistreuses de plus de 1 000 de ses propriétés avaient été compromises par des logiciels malveillants conçus pour siphonner les données des cartes de débit et de crédit des clients, y compris celles utilisées à la réception de certaines propriétés IHG.
Marriott affirme que son propre réseau ne semble pas avoir été affecté par cette violation de données de quatre ans et que l’enquête n’a identifié qu’un accès non autorisé au réseau distinct de Starwood.
Les marques hôtelières de Starwood incluent W Hotels, St. Regis, Sheraton Hotels & Resorts, Westin Hotels & Resorts, Element Hotels, Aloft Hotels, The Luxury Collection, Tribute Portfolio, Le Méridien Hotels & Resorts, Four Points by Sheraton et Design Hotels qui participent à le programme Starwood Preferred Guest (SPG).
Marriott offre aux clients concernés aux États-Unis, au Canada et au Royaume-Uni un un an de service gratuit de WebWatcherl’une des nombreuses entreprises qui annoncent la possibilité de surveiller la cybercriminalité souterraine pour détecter des signes indiquant que les informations personnelles du client sont échangées ou vendues.
La violation annoncée aujourd’hui n’est que la dernière d’une longue série d’intrusions impliquant des données de cartes de crédit volées à de grandes chaînes hôtelières au cours des quatre dernières années – de nombreuses chaînes ayant subi plusieurs violations. En octobre 2017, Hôtels Hyatt a subi sa deuxième violation de carte en autant d’années. En juillet 2017, la collection d’hôtels Trump a été frappé par sa troisième violation de carte en deux ans.
En septembre 2016, Hôtels à Kimpton a reconnu une violation révélée pour la première fois par BreachTrace. Parmi les autres violations révélées pour la première fois par BreachTrace, citons deux incidents distincts dans les hôtels White Lodging ; un incident de 2015 impliquant un logiciel malveillant de vol de cartes à mandarin Oriental propriétés; et une violation de 2015 affectant les propriétés des hôtels Hilton à travers les États-Unis.
Ceci est une histoire en développement et sera bientôt mise à jour avec une analyse.