A Marriott International concordou em pagar US$ 52 milhões e fortalecer suas práticas de segurança de dados em um acordo relacionado a três vazamentos de dados que remontam a 2014. A iniciativa, anunciada hoje (10), é dividida em duas partes: um acerto com 49 procuradores-gerais dos Estados Unidos e o Distrito de Columbia, que obriga a gigante da hospitalidade a pagar a cifra milionária, aponta o Phocuswire.

Paralelamente, a FTC (Comissão Federal de Comércio) exigirá que a Marriott e sua subsidiária Starwood implementem um “robusto programa de segurança da informação”. Além disso, a empresa concordou em fornecer a todos os clientes nos Estados Unidos uma maneira de solicitar a exclusão de informações pessoais associadas ao endereço de e-mail ou número de conta de recompensas de fidelidade.

“Práticas de segurança deficientes da Marriott levaram a várias violações que afetaram centenas de milhões de clientes”, diz Samuel Levine, diretor do Bureau de Proteção ao Consumidor da FTC. “A ação da FTC hoje, em coordenação com nossos parceiros estaduais, garantirá que a Marriott melhore suas práticas de segurança de dados em hotéis ao redor do mundo”, completa.

O caso interestadual foi liderado por Connecticut. Willian Tong, procurador-geral do estado, afirma que as empresas têm obrigação de adotar medidas razoáveis para proteger a segurança dos dados dos consumidores. “A ação da FTC hoje, em coordenação com nossos parceiros estaduais, garantirá que a Marriott melhore suas práticas de segurança de dados em hotéis ao redor do mundo”, ressalta.

“Continuaremos trabalhando de perto com nossos parceiros estaduais para garantir que as empresas tomem todas as precauções necessárias para proteger nossas informações pessoais”, acrescenta.

Fusões e vazamentos

A Marriott anunciou planos de adquirir a Starwood em 2015, e pouco depois, a empresa notificou os clientes de que havia sofrido uma violação de dados de 14 meses, envolvendo informações de cartões de pagamento de mais de 40 mil clientes.

Após a fusão, que se concretizou em 2016 por US$ 12,2 bilhões, a Marriott tornou-se responsável pelas práticas de segurança de dados de ambas as marcas. Dois anos depois, em novembro de 2018, a gigante hoteleira revelou que havia identificado o que agora é chamado de segundo vazamento, iniciado em 2014, que envolveu a cópia de informações de cerca de 340 milhões de hóspedes da Starwood em todo o mundo, descoberta apenas quatro anos depois.

De acordo com a Comissão Federal de Comércio dos Estados Unidos, examinadores forenses determinaram que a violação ocorreu devido a “agentes maliciosos” que comprometeram o servidor da web da Starwood e instalaram malware em sua rede. Eles instalaram “registradores de teclas, malware de raspagem de memória e trojans de acesso remoto” em mais de 480 sistemas em 58 locais da rede da companhia, incluindo centros corporativos, de dados, de atendimento ao cliente e propriedades de hotéis.

Terceira violação e ações da FTC

Em março de 2020, a Marriott relatou o terceiro vazamento, no qual hackers usaram credenciais de login de funcionários de uma franquia para acessar a rede da empresa. Os intrusos começaram a roubar informações em setembro de 2018 – o mesmo mês em que o segundo vazamento foi descoberto – e continuaram até dezembro do mesmo ano, retomando em janeiro de 2020, até serem descobertos no mês seguinte.

Durante esse período, eles acessaram mais de 5,2 milhões de registros de hóspedes que, segundo a FTC, continham “quantidades significativas” de informações pessoais. A queixa da entidade alega que a Marriott falhou em várias áreas, incluindo a implementação de controles adequados de senha, atualização de software, monitoramento de ambientes de rede, implementação de firewalls apropriados e aplicação de autenticação multifatorial adequada.

Os acordos com a FTC e os procuradores-gerais indicam que a Marriott não admite responsabilidade em relação às alegações. Atualmente, a rede administra e franqueia mais de 7 mil propriedades nos Estados Unidos e 130 outros países.

(*) Crédito da foto: Divulgação/Marriott International