Sono state rubate informazioni personali di più di 500 milioni di ospiti di Starwood Hotels in una violazione informatica che si è protratta dal 2014 fino a settembre scorso. La Starwood Marriott International ha rivelato la violazione oggi con un annuncio che ha fornito alcuni dettagli, ma ha lasciato molte domande senza risposta.
“Per circa 327 milioni di ospiti, le informazioni includono una combinazione di nome, indirizzo postale, numero di telefono, indirizzo e-mail, numero di passaporto, informazioni sul conto Starwood Preferred Guest (” SPG “), data di nascita, sesso, arrivo e partenza, data di prenotazione e preferenze di comunicazione “, ha detto l’ufficio stampa Marriott.
La società ha anche detto che per un numero non specificato di clienti, le informazioni accessibili includono i numeri delle carte di credito e le date di scadenza, sebbene tali informazioni fossero protette dalla crittografia AES-128. Questo confortante dettaglio è stato un po’ attenuato dall’ammissione della compagnia che non può escludere la possibilità che entrambe le chiavi necessarie per la decrittazione siano state prese nella violazione.
Tra le informazioni non divulgate o sconosciute è proprio chi c’è dietro la violazione e quanti dei record interessati sono stati venduti o usati dai criminali.
Marriott ha annunciato l’acquisto di Starwood a novembre 2015, con la chiusura dell’operazione a settembre 2016, circa due anni dopo l’inizio della violazione.
“Questo è un altro esempio del perché è fondamentale che le aziende eseguano la cyber due diligence prima di un’acquisizione o un investimento“, afferma Jake Olcott, vicepresidente delle comunicazioni e degli affari governativi di BitSight. “Comprendere la sicurezza informatica di un investimento è fondamentale per valutare il valore dell’investimento e considerare i danni di tipo reputazionale, finanziario e legale che potrebbero verificarsi all’azienda“.
La quantità e la natura dei dati presi nella violazione potrebbero avere un impatto ben oltre le informazioni finanziarie vendute sul Dark Web. “I dati personali ottenuti in un furto informatico potrebbero essere incrociati con i dati ottenuti da un’altra violazione e altre violazioni del settore privato ampiamente pubblicizzate, e il furto di Marriott rende il loro compito molto più facile e più probabile che abbia successo“, afferma Michael Magrath, direttore di regolamenti e standard globali presso OneSpan.
E questa analisi di dati incrociata potrebbe avere implicazioni al di là del mondo degli affari. Secondo Michael Daly, CTO, cibersicurezza e missioni speciali, a Raytheon Intelligence, Information & Services: “Questo è molto più di una violazione dei dati dei consumatori. Quando si pensa a questo da un punto di vista dell’intelligence si stanno spiando i modelli di vita di leader politici e commerciali, compresi i viaggiatori con cui sono andati e dove e quando, è una riunione di dati incredibilmente efficiente ed eleva questa violazione a un problema di sicurezza nazionale “.
Mentre Marriott afferma di aver segnalato la violazione agli organismi preposti all’applicazione della legge e sta collaborando con le loro indagini, sembra probabile che ci saranno conseguenze legali per l’azienda. Negli Stati Uniti le azioni legali collettive sono quasi certe, e molti nella comunità economica internazionale guarderanno l’UE mentre iniziano le loro indagini su quella che potrebbe essere la prima grande prova delle sanzioni previste dal GDPR.
Le notifiche e-mail sono iniziate per i clienti interessati dal furto, comunica Marriott. Inoltre, la società ha creato un sito Web informativo e offre ai clienti l’iscrizione gratuita a WebWatcher per un anno.