Marriott International a accepté de payer 52 millions de dollars et d’apporter des modifications pour renforcer la sécurité de ses données afin de résoudre les réclamations étatiques et fédérales liées aux violations de données majeures qui ont touché plus de 300 millions de ses clients dans le monde.
La Federal Trade Commission et un groupe de procureurs généraux de 49 États et du District de Columbia ont annoncé mercredi les termes de règlements séparés avec Marriott. La FTC et les États ont mené des enquêtes parallèles sur trois violations de données, survenues entre 2014 et 2020.
À la suite des violations de données, des « acteurs malveillants » ont obtenu les informations de passeport, les numéros de carte de paiement, les numéros de fidélité, les dates de naissance, les adresses e-mail et/ou les informations personnelles de centaines de millions de consommateurs, selon la plainte proposée par la FTC.
La FTC a affirmé que Marriott et sa filiale Starwood Hotels & Les mauvaises pratiques de Resorts Worldwide en matière de sécurité des données ont conduit à ces violations.
Plus précisément, l’agence a allégué que l’exploitant de l’hôtel n’avait pas réussi à sécuriser son système informatique avec des contrôles de mots de passe appropriés, une surveillance du réseau ou d’autres pratiques pour protéger les données.
Dans le cadre de son projet de règlement avec la FTC, Marriott a accepté de « mettre en œuvre un programme solide de sécurité des informations » et de fournir à tous ses clients américains un moyen de demander que toute information personnelle associée à leur adresse e-mail ou à leur numéro de compte de récompenses de fidélité soit supprimée.
Marriott a également réglé des réclamations similaires déposées par le groupe des procureurs généraux. En plus d’accepter de renforcer ses pratiques de sécurité des données, l’exploitant hôtelier paiera également une pénalité de 52 millions de dollars qui sera répartie entre les États.
Dans une déclaration publiée mercredi sur son site Internet, Marriott, basé à Bethesda, dans le Maryland, a indiqué qu’il n’avait fait aucune reconnaissance de responsabilité dans le cadre de ses accords avec la FTC et les États. Il a également déclaré avoir déjà mis en place des améliorations en matière de confidentialité des données et de sécurité des informations.
Début 2020, Marriott a remarqué qu’une quantité inattendue d’informations sur les clients avait été consultée à l’aide des identifiants de connexion de deux employés d’une propriété franchisée. À l’époque, l’entreprise estimait que les données personnelles étaient d’environ 5,2. Des millions de clients dans le monde pourraient avoir été concernés.
En novembre 2018, Marriott a annoncé un violation massive des données dans lequel les pirates ont accédé à des informations sur pas moins de 383 millions d’invités. Dans ce cas, Marriott a déclaré que les numéros de passeport non cryptés d’au moins 5,25 millions de clients avaient été consultés, ainsi que les informations de carte de crédit de 8,6 millions de clients. Les marques hôtelières concernées étaient exploitées par Starwood avant son acquisition par Marriott en 2016.
Le FBI a mené l’enquête sur ce vol de données et les enquêteurs soupçonnaient que les pirates informatiques travaillaient pour le compte du ministère chinois de la Sécurité d’État, l’équivalent approximatif de la CIA.