500 triệu hồ sơ khách hàng của Marriott bị đánh cắp

500 triệu hồ sơ khách hàng của Marriott bị đánh cắp

December 3, 2018 | vietsunshine

Chuỗi khách sạn lớn nhất thế giới Marriott International cho biết các tin tặc chưa rõ danh tính đã xâm phạm cơ sở dữ liệu đặt tại công ty con Starwood và lấy đi các thông tin cá nhân khoảng của 500 triệu khách.

Starwood Hotels and Resorts Worldwide đã được Marriott International mua lại với giá 13 tỷ đô la trong năm 2016. Thương hiệu bao gồm St. Regis, Sheraton Hotels & Resorts, W Hotels, Westin Hotels & Resorts, Aloft Hotels, Tribute Portfolio, Element Hotels, Le Méridien Hotels & Resorts, The Luxury Collection, Four Points by Sheraton và Design Hotels.

Vụ việc được cho là một trong những vụ vi phạm dữ liệu lớn nhất trong lịch sử, sau vụ hack Yahoo năm 2016, trong đó gần 3 tỷ tài khoản người dùng bị đánh cắp.

Việc vi phạm dữ liệu tại Starwood đã xảy ra từ năm 2014 sau khi một “unauthorized party” đã truy cập trái phép vào cở sở dữ liệu và sao chép  thông tin được mã hóa.

Marriott phát hiện vi phạm vào ngày 8 tháng 9 năm nay sau khi nhận được cảnh báo từ một công cụ bảo mật nội bộ “liên quan đến nỗ lực truy cập cơ sở dữ liệu đặt phòng khách Starwood tại Hoa Kỳ.”

Vào ngày 19 tháng 11, cuộc điều tra về vụ việc đã tiết lộ rằng có sự truy cập trái phép vào cơ sở dữ liệu, chứa “thông tin của khách liên quan đến việc đặt chỗ tại Starwood trước ngày 10 tháng 9 năm 2018.”

Cơ sở dữ liệu khách sạn bị đánh cắp chứa thông tin cá nhân nhạy cảm của gần 327 triệu khách, bao gồm tên, địa chỉ gửi thư, số điện thoại, địa chỉ email, số hộ chiếu, ngày sinh, giới tính, thông tin đến và đi, ngày đặt phòng và tùy chọn liên lạc.

Điều gì đáng lo ngại? Đối với một số người dùng, dữ liệu bị đánh cắp cũng bao gồm số thẻ thanh toán và ngày hết hạn thẻ thanh toán.

Tuy nhiên, theo Marriott, “số thẻ thanh toán đã được mã hóa bằng cách sử dụng mã hóa tiêu chuẩn mã hóa nâng cao (AES-128).” Những kẻ tấn công cần hai thành phần để giải mã số thẻ thanh toán, và “tại thời điểm này, Marriott đã không thể loại trừ khả năng cả hai đã được thực hiện.”

Marriott xác nhận rằng việc điều tra vụ việc của họ chỉ xác định việc truy cập trái phép vào mạng Starwood riêng biệt chứ không phải mạng lưới Marriott. Họ cũng đã bắt đầu thông báo cho khách hàng tiềm năng bị ảnh hưởng của vụ việc an ninh.

Công ty cũng đã bắt đầu thông báo cho các cơ quan quản lý và thực thi pháp luật về vụ việc.

Vi phạm dữ liệu thuộc quy tắc Bảo vệ dữ liệu chung của Liên minh châu Âu (GDPR), Marriott có thể phải chịu mức phạt tối đa 17 triệu bảng hoặc 4% doanh thu toàn cầu hàng năm, tùy theo mức nào cao hơn nếu phát hiện vi phạm các quy tắc này.

Tags: , , ,