ארה"ב: סופסוף ענישה למריוט עקב סדרת הפרות מידע מהעבר

ועדת הסחר הפדרלית של ארה"ב, ה-FTC, הודיעה אתמול (ד') כי הגיעה להסכם עם מריוט אינטרנשיונל (Marriott International) והחברה הבת שלה, סטארווד (Starwood Hotels & Resorts Worldwide), שהן ידאגו ליישם תוכנית אבטחת מידע חזקה במיוחד, לצורך פתרון כישלון החברות בעבר ביישום אבטחת מידע סבירה על הדאטה שבבעלותן.

מדובר במענה מתבקש המגיע אחרי התנהלות החברות שהובילה לשלוש פרצות נתונים גדולות בין השנים 2014 עד 2020, אשר השפיעו על יותר מ-344 מיליון לקוחות החברות ברחבי העולם.

לדברי סמואל לוין, מנהל הלשכה להגנת הצרכן של ה-FTC, "נוהלי האבטחה הגרועים של מריוט הובילו להפרות מרובות שהשפיעו על מאות מיליוני לקוחות. הפעולה של ה-FTC היום, בתיאום עם שותפינו במדינה, תבטיח שמריוט תשפר את נוהלי אבטחת המידע שלה בבתי מלון ברחבי העולם".

ההסדר שהוצג גם מחייב את מריוט לסייע ללקוחותיה ולבדוק חשבונות תגמולי נאמנות, לפי בקשת לקוח, ולשחזר נקודות נאמנות שנגנבו. בנוסף, מריוט הסכימה לשלם קנס של 52 מיליון דולר ל-49 מדינות ולמחוז קולומביה, כדי לפתור האשמות דומות בענייני אבטחת מידע.

ההפרות, שהתרחשו באותן שש שנים ועד ל-2020, כללו חשיפה של כמויות משמעותיות של מידע אישי, כולל שמות, כתובות דואר, כתובות דואר אלקטרוני, מספרי טלפון, תאריכי לידה ופרטי חשבון נאמנות ממאות מיליוני הצרכנים לקוחות החברה. הפרות אלו לא זוהו במשך תקופות ממושכות, מה שאפשר לשחקנים זדוניים לגשת לנתונים רגישים.

בהצהרה מטעמה לאחר פרסום ההסדר ציינה ענקית המלונות כי "הגנה על הנתונים האישיים של האורחים נותרה בראש סדר העדיפויות של מריוט". היא הוסיפה ש-"החלטות אלה מאשרות את המשך ההתמקדות וההשקעות המשמעותיות של החברה בתחזוקה והתאמת התוכניות והמערכות שלה כדי להעריך, לזהות ולנהל סיכונים כתוצאה מאיומי אבטחת סייבר מתפתחים". 

עם זאת החברה הדגישה בהודעתה שאינה נושאת באחריות ישירה לאירועים. "כפי שצוין בהסכמים עם ה-FTC והתובעים הכלליים של המדינה, מריוט לא מודה באחריות ביחס להאשמות הבסיסיות", כתבה מריוט.

FTC takes action against Marriott and Starwood over multiple data breaches: https://t.co/0WaH8IrvhQ /1

— FTC (@FTC) October 9, 2024

שלוש הפרות חמורות שלא אובחנו

נזכיר כי ב-2019 עדכנה מריוט שחקירה פנימית שביצעה הראתה שמאז 2014 הצליחו האקרים לגשת למסד הנתונים של הזמנת האורחים בחטיבת סטארווד שלה בארה"ב, ושבין הפרטים שעלולים היו להיחשף לתוקפים נכללו מספרי הדרכון ומספרי כרטיסי אשראי של הלקוחות. מריוט רכשה את סטארווד ב-2016, אך החשיפה של מידע על הלקוחות התגלתה לה רק אחרי 4 שנים תמימות. מאגר זה של סטארווד חדל להמצא בשימוש בפעולות עסקיות של הרשת כבר לפני כחמש שנים.

התגובה הבריטית להפרה החמורה הגיעה עוד ב-2019, כשרשת מלונות מריוט הבינלאומית נקנסה על ידי הרשויות בממלכה המאוחדת בסכום של 99 מיליון פאונד (כ-125 מיליוני דולרים באותם ימים), לנוכח הפרת הסייבר בקנה המידה הגדול שהתגלתה במחשביה, ושהותירה מיליוני נתונים אישיים של לקוחות בסיכון.

נציבות המידע הבריטית, ה-ICO, הודיעה בנובמבר 2018 כי קיבלה בשורה על אירוע הסייבר במריוט ואמרה שההפרה חשפה מגוון נתונים אישיים של לקוחות הרשת, ש-7 מיליון מהנפגעים הפוטנציאליים, מתוך מאות המיליונים האחרים שיתכן שנפגעו, היו תושבי בריטניה.

אם לשוב לצעדי ה-FTC – כחלק מההסדר שנקבע כעת, על מריוט וסטארווד ייאסר להציג מצג שווא של שיטות איסוף הנתונים, התחזוקה, השימוש, המחיקה או החשיפה שלהן. כמו כן, עליהן להקים, ליישם ולתחזק תוכנית אבטחת מידע מקיפה ולעבור הערכה עצמאית של צד שלישי מדי שנתיים.

החלטת ועדת הסחר האמריקנית משמשת תזכורת מכרעת לחברות לתעדף אמצעי אבטחת מידע חזקים, כדי להגן על המידע של לקוחותיהן, למנוע הפרות עתידיות של נתוניהם, וכמובן גם על מנת להימנע מפגיעה בשמן הטוב ומסנקציות שיטילו עליהן הרשויות.