Massive Marriott- und Starwood-Datenverletzungen erfordern 13 Reparaturen, lautet die Aussage der FTC.

Die Bundeskartellbehörde (BKB) hat sich auf eine Reihe großer Datenverletzungen von Marriott und Starwood gemeldet und die Unternehmen verpflichtet, mindestens 13 Änderungen vorzunehmen, um es nicht wiederzulassen.

Mehr als 344 Millionen Kunden wurden von drei getrennten Sicherheitsverletzungen betroffen, die persönliche Daten wie Kreditkarteninformationen und Passfotokopien offneten…

Marriott und Starwood-Datenverluste

Der erste der drei Verletzungen datiert auf die Jahrhundertwende zurück ins Jahr 2018.

Die Marriott International Hotelgruppe ist die neueste Firma, die eine große Hack eines Kunden-Datenbankes bekanntgibt.

Für etwa 327 Millionen dieser Gäste enthält die Informationen eine Kombination aus Namen, Mailing-Adresse, Telefonnummer, E-Mail-Adresse, Passagiernummer, Starwood Preferred Guest (SPG)-Kontoinformationen, Geburtsdatum, Geschlecht, Ankunfts- und Abreiseinformationen, Buchungsdatum und Kommunikationspräferenzen. Für einige Gäste enthält die Informationen auch Kreditkartennummern und Kreditkartenausführungsdaten, aber die Kreditkartennummern wurden mit dem Verschlüsselungsalgorithmus Advanced Encryption Standard (AES-128) verschlüsselt. Um die Kreditkartennummern zu entschlüsseln, sind zwei Komponenten erforderlich, und zurzeit kann Marriott nicht ausschließen, dass beide Stolen wurden.

Es gab zwei weitere Hacks danach.

Die FTC fordert 13 Änderungen.

Die FTC hat nun beide Hotelgruppen verpflichtet, um erhebliche Änderungen durchzuführen, um jegliche Wiederholung der Schwachstellen abzuwehren, die die Erfolg der Angriffe ermöglichen haben.

Gemäß dem Befehl müssen Marriott und Starwood eine umfassende Informationsvertragsprogrammierung etablieren, um die persönlichen Informationen der Kunden zu schützen. Sie sollten auch eine Politik implementieren, bei der persönliche Daten nur so lange aufbewahrt werden, wie dies angemessen ist. Die Anweisung erfordert außerdem, dass Marriott einen Link auf ihrer Website für US-Kunden erstellt, um persönliche Informationen, die mit ihrer E-Mail-Adresse oder dem Nummer eines Loyalty-Rewards-Kontos verbunden sind, zu löschen. Das Befehl verlangt auch, dass Marriott Loyalty-Rewards-Konten bei Kundenanforderung überprüft und gestohene Loyalty-Punkte wiederherstellt.

Die Unternehmen dürfen auch nicht falsch darstellen, wie sie personenbezogene Informationen sammeln, pflegen, nutzen, löschen oder offenzutragen; und in welcher Weise die Unternehmen die Privatsphäre, Sicherheit, Verfügbarkeit, Geheimhaltung oder Integrität von personenbezogenen Informationen schützen.

Da viele der Vorschriften sehr grundlegend sind, dienen sie als ziemlich überzeugendes Urteil darüber, wie schlecht es sein muss. Zum Beispiel dürfen die Unternehmen nicht fibben, was sie mit Ihren Daten tun:

Antwortenden, die Beamten, Vertreter und Mitarbeiter der Antwortenden, Pläne zur Reaktion auf Bedrohungen erstellt, Richtlinien zum Erkennen von Eingriffen verabschiedet und eine Zweifaktor-Authentifizierung verwendet.

Bild von Jonathan Kemper auf Unsplas