Komisi Perdagangan Federal diumumkan pada hari Jumat selesai memesan (pdf) mewajibkan Marriott International dan anak perusahaan Starwood Hotels untuk meningkatkan keamanan digital mereka, pesan BleepingComputer.. FTC menuduh perusahaan-perusahaan tersebut melakukan praktik keamanan yang lalai yang menyebabkan pelanggaran pada tahun 2015, 2018, dan 2020. mengidentifikasi tiga pelanggaran besar yang “berdampak pada lebih dari 344 juta pelanggan di seluruh dunia,” membocorkan data paspor, kartu pembayaran, dan informasi lainnya.
Pelanggaran terpendek berlangsung selama 14 bulan sebelum ditemukan, dan akses terlama yang dimiliki penyerang adalah empat tahun, dimulai pada tahun 2018. Program keamanan yang ditingkatkan yang mereka sepakati untuk dibuat termasuk membuat kebijakan untuk menyimpan informasi hanya selama diperlukan dan menerbitkan tautan yang memungkinkan pelanggan AS meminta penghapusan informasi yang terkait dengan email mereka. alamat email atau akun loyalitas.
Hotel telah menjadi salah satu target utama banyak peretas, dan satu pelanggaran tahun lalu membuat Ketua FTC Lina Khan termasuk di antara banyak orang yang dibiarkan menunggu untuk check-in ketika dipaksa oleh serangan ransomware. Resor MGM kembali ke pena dan kertas.
FTC mengumumkan tuduhannya Oktobermenuduh perusahaan tersebut “menyesatkan konsumen” dengan klaim palsu tentang “keamanan data yang wajar dan memadai”. Di antara dugaan kegagalan mereka adalah penggunaan kata sandi dan firewall yang salah, serta kegagalan dalam menambal perangkat lunak dan sistem yang sudah ketinggalan zaman. Pada hari yang sama ketika FTC mengumumkan dakwaan tersebut, Kantor Kejaksaan Agung Connecticut mengumumkan bahwa Marriott telah menyetujui penyelesaian $52 juta.
Selain meningkatkan keamanan, perusahaan kini dilarang “menyatakan informasi secara keliru tentang cara mereka mengumpulkan, memelihara, menggunakan, menghapus, atau mengungkapkan informasi pribadi pengguna; dan sejauh mana perusahaan melindungi privasi, keamanan, ketersediaan, kerahasiaan, atau integritas informasi pribadi. Persyaratan lainnya mencakup bahwa mereka menyimpan catatan kepatuhan dan tunduk pada inspeksi FTC. Pesanan akan berlaku selama 20 tahun.