Британские власти в лице Управления комиссара по информации (ICO) приняли решение оштрафовать компанию Marriot на 18,4 млн. фунтов стерлингов за допущенную утечку данных, которая началась еще в 2014 г. и продолжалась до 2018 г.
Международная гостиничная сеть Marriott International столкнулась с утечкой данных в 2014 г., когда хакеры взломали сеть отелей Starwood (была приобретена Marriott в 2015 г.). Тогда киберпреступникам удалось проникнуть во внутренние системы Starwood, запустить вредоносное ПО через веб-оболочку, в том числе и инструменты удаленного доступа, программы для сбора учетных данных.
Хакеры также смогли зайти в базы данных, которые использовались для хранения информации о бронировании:
- имена гостей;
- их email-адреса;
- телефонные номера;
- паспортные данные;
- сведения о поездках;
- сведения о программе лояльности.
Киберпреступники активно действовали в сетях Starwood вплоть до 2018 г. Это позволило им за четыре года украсить данные почти 339 млн. гостей, которые когда-либо пользовались услугами Marriott. В общей сложности британская служба безопасности обнаружила, что утечка затронула около 7 млн. граждан Великобритании.
В ICO отмечают, что компания Marriott на тот момент времени не способна была соответствовать стандартам безопасности, которые необходимы для соблюдения GDRP. Также в опубликованном заявлении говорится о том, что компания в 2018 г. не принимала необходимых «технических и организационных мер, чтобы обеспечить должный уровень кибербезопасности своих систем».
В результате проведенного расследования на компанию Marriott International был наложен штраф в размере 18,4 млн. фунтов стерлингов, что примерно на 80,6 млн. фунтов меньше, чем предполагалось изначально. Снижение штрафа произошло на фоне текущих финансовых проблем компании Marriott International из-за коронавирусной пандемии и с учетом недавних улучшений ее безопасности.
В 2019 г. британские власти заявляли, что компания Marriott International будет оштрафована на 99 200 396 фунтов за нарушение регламента GDPR.
Стоит напомнить, что в октябре 2020 г. британские власти оштрафовали на 20 млн. фунтов крупного международного авиаперевозчика British Airways за утечку данных, которая случилась после проведенной кибератаки в 2018 г.