Le piratage de la base de données du Marriott expose les détails de 500 millions d’invités
La multinationale de l’hôtellerie a révélé qu’un accès non autorisé à sa base de données Starwood Hotels se produit depuis 2014 et qu’environ 500 millions de clients ont vu leurs données personnelles exposées et potentiellement aussi leurs données de carte de paiement.
Marriott International a admis aujourd’hui avoir subi une violation de la sécurité à grande échelle, les détails personnels de près de 500 millions d’invités ayant été exposés en raison d’une violation de la base de données. Pire encore, des accès non autorisés se produisent depuis 2014.
Comme le rapporte Reuters, la brèche affecte une base de données de réservation des clients de la marque Starwood Hotel. Une “partie non autorisée” a réussi à copier puis à crypter les informations stockées dans la base de données de 2014 à aujourd’hui. Marriott a été alerté de la brèche le 8 septembre par un outil de sécurité interne. Bien que des mesures aient maintenant été prises pour mettre fin à l’accès non autorisé, il est trop tard pour protéger les données de centaines de millions de clients.
Arne Sorenson, le président et directeur général du Marriott, a répondu à cette violation en déclarant : “Nous regrettons profondément que cet incident se soit produit. Nous sommes restés en deçà de ce que nos invités méritent et de ce que nous attendons de nous-mêmes. Nous faisons tout ce qui est en notre pouvoir pour soutenir nos invités, et nous utilisons les leçons apprises pour mieux aller de l’avant”.
Au total, on estime qu’environ 327 millions d’invités ont eu leur nom, leur adresse postale, leur numéro de téléphone, leur adresse électronique, leur numéro de passeport, leur date de naissance, leur sexe et les informations relatives à leur compte Starwood Preferred Guest. Toutes les autres informations personnelles que les invités ont pu stocker dans la base de données étaient également susceptibles d’être volées. Pour les quelque 170 millions d’autres invités, les informations volées se limitent au nom, à l’adresse postale, à l’adresse électronique, “ou à d’autres informations”.
Bien que les données relatives aux cartes de paiement aient été stockées sous forme cryptée, elles ont également été consultées avec leurs dates d’expiration associées. M. Marriott a confirmé que deux éléments sont nécessaires pour décrypter les numéros de carte volés, et que ces deux éléments peuvent également avoir été volés. En d’autres termes, sauf confirmation contraire, il est préférable de supposer que les détails de la carte ont été décryptés.
La responsabilité de cette situation incombera fermement à Marriott, mais la société n’a acquis Starwood Hotels and Resorts Worldwide qu’en 2016 pour 13,6 milliards de dollars. Comme les accès non autorisés se produisent depuis 2014, il est clair que les problèmes de sécurité existaient bien avant l’acquisition. Cela ne fait qu’aggraver la situation. Starwood n’a pas réussi à protéger les informations de ses clients et Marriott n’a pas effectué de vérification de sécurité dans le cadre de l’acquisition.
RELATIVES
*Les chambres d’hôtel du monde entier peuvent être déverrouillées grâce à ce piratage
*10 étapes essentielles pour protéger votre identité en ligne
*Que faire lorsque vous avez été piraté
La suite n’est pas claire. Le Marriott soutient une enquête menée par les forces de l’ordre et vous pouvez garantir qu’il y aura de nombreuses retombées une fois que la poussière sera retombée. Si vous êtes client de Starwood Hotels depuis 2014, il vaut mieux être prudent. Vérifiez vos cartes de paiement pour détecter toute activité inhabituelle et soyez attentif à tout signe de vol d’identité. Vos coordonnées étant disponibles dans la nature, il est encore plus important que vous disposiez d’une bonne solution antivirus et que vous preniez des mesures pour vous protéger contre les logiciels de rançon. Comme mesure supplémentaire, pensez à cacher votre identité lorsque vous êtes en ligne en utilisant un VPN fiable.
