- De FTC legt strenge regels op aan de Marriott Hotelketen
- Drie enorme datalekken in het Marriott zorgden ervoor dat honderden miljoenen klanten werden blootgesteld
- FTC zegt dat het bedrijf er niet in is geslaagd de juiste beveiligingsmaatregelen te implementeren
De Federal Trade Commission (FTC) heeft Marriott International en Starword Hotels opdracht gegeven een robuust systeem voor de beveiliging van klantgegevens te implementeren na meerdere beveiligingsfouten in de afgelopen jaren.
Tussen 2015 en 2020 Marriott kreeg te maken met drie enorme datalekkenwaardoor meer dan de gegevens van meer dan 344 miljoen klanten over de hele wereld openbaar worden gemaakt, waaronder paspoortgegevens, betaalkaarten en andere persoonlijk identificeerbare informatie.
Volgens de uitspraak moet Marriott nu een alomvattend informatiebeveiligingsprogramma opzetten en onderhouden, dat onder meer encryptie, toegangscontrole, multifactorauthenticatie en incidentrespons omvat. Daarnaast moet het ook alle IT-middelen monitoren om beveiligingsgebeurtenissen te detecteren, en beleid handhaven om persoonlijke informatie alleen zo lang als nodig te bewaren.
Slechte beveiligingspraktijken
Er moeten ook onafhankelijke, tweejaarlijkse beoordelingen van informatiebeveiligingsprogramma’s worden uitgevoerd, en alle geïdentificeerde lacunes of inbreuken op de beveiliging moeten binnen tien dagen aan de FTC worden gemeld, en deze voorwaarden zullen de komende twintig jaar worden gehandhaafd.
Klanten krijgen nu de mogelijkheid om vermoedelijke ongeautoriseerde activiteiten in hun accounts te bekijken en te verzoeken dat hun gegevens en persoonlijke informatie uit de systemen van Marriott worden verwijderd.
Het bedrijf gaf toe dat grote tekortkomingen in de beveiliging ertoe leidden dat hackers toegang kregen tot klantgegevens het niet gebruiken van veilige encryptiemaakte Marriott zichzelf kwetsbaar voor een onvermijdelijke grootschalige cyberaanval.
Als gevolg hiervan hadden naar schatting hackers tot vier jaar lang toegang tot Marriott-systemen, en deze inbreuken bezorgden het bedrijf een Een boete van $ 52 miljoen van de FTC Eerder dit jaar probeerde het bedrijf, zoals de FTC betoogde, de inbreuken te verbergen en “consumenten te misleiden door te beweren over redelijke en passende gegevensbeveiliging te beschikken.”
Via BleepingComputer