De Amerikaanse hotelketen Marriott International ligt onder vuur vanwege herhaaldelijke datalekken. De Federal Trade Commission (FTC) geeft Marriott 180 dagen om een streng beveiligingsprogramma te implementeren. Dit besluit volgt op een lange geschiedenis van een eerder gebrekkige databeveiliging die miljoenen klanten wereldwijd heeft getroffen.
De problemen bij Marriott begonnen al vóór de overname van Starwood in 2016. In 2014 werden de betalingssystemen van Starwood gehackt, waarbij klantgegevens werden blootgelegd. Het incident werd pas veertien maanden later openbaar gemaakt.
Na de overname erfde Marriott dus een reeds gecompromitteerde database. Gedurende ettelijke jaren werden gegevens van 339 miljoen gasten gestolen, waaronder onbeveiligde paspoortnummers. Deze datalekken bleven lange tijd onopgemerkt, waardoor miljoenen klanten kwetsbaar waren.
Ook na de overname bleef Marriott echter worstelen met databeveiliging. In 2018 wisten hackers opnieuw gegevens van 5,2 miljoen gasten te bemachtigen. Het duurde echter tot 2020 voordat het bedrijf dit ontdekte. De nasleep van deze datalekken resulteerde in oktober 2024 in een schikking met de FTC, waarbij Marriott akkoord ging met een boete van 52 miljoen dollar om de claims van 49 Amerikaanse staten af te handelen.
Onder Marriott en Starwood vallen, naast Marriott-hotels, onder meer ook merken als The Ritz-Carlton, Courtyard, Aloft, Westin en Sheraton.
Opgelegde verbetering
De FTC heeft Marriott en haar dochteronderneming Starwood Hotels nu verplicht om zijn beveiliging grondig te verbeteren. Het bedrijf moet een robuust beveiligingsprogramma opzetten dat gevoelige klantgegevens beter beschermt. Onderdeel hiervan zijn strengere controle op toegang tot data, gebruik van encryptie en monitoring van verdachte activiteiten.
Daarnaast moeten klanten meer controle krijgen over hun persoonlijke gegevens, zoals de mogelijkheid om gegevens te verwijderen of verdachte activiteiten in loyaliteitsaccounts te melden. Deze maatregelen moeten uiterlijk op 17 juni 2025 zijn geïmplementeerd. Met een toezichtperiode van twintig jaar heeft de FTC al aangegeven de vinger aan de pols te houden bij de hotelketen.
Marriott heeft hier een juridische flater begaan.
Gezien het feit dat het Marriott was die hier de mist in ging, maar de automatiseerder, die ingevolge de essentie van automatisering, zeker in de VS, aan kan worden geklaagd voor het niet op orde hebben van de beveiliging.
Het is klassiek te lezen dat hier de naam en reputatie van Marriott in de openbaarheid wordt gebracht, maar de werkelijke verantwoordelijken niet worden genoemd.