Marriott révèle une violation massive de base de données touchant jusqu’à 500 millions de clients

Marriott révèle aujourd’hui une violation massive de base de données, touchant jusqu’à 500 millions de clients de ses hôtels Starwood acquis en 2016. Une enquête de sécurité a conclu à l’existence d’un «accès non autorisé» à une base de données contenant les enregistrements des clients de l’hôtel. «Au cours de l’enquête, Marriott a appris qu’il existait un accès non autorisé au réseau Starwood depuis 2014», indique une déclaration de la société. La violation inclut 327 millions d’enregistrements indiquant «une combinaison» de nom, adresse postale, numéro de téléphone, adresse e-mail, numéro de passeport, informations de compte Starwood Preferred Guest («SPG»), date de naissance, sexe, date de départ et de réservation, et préférences de communication.

Marriott ne fournit pas un nombre exact, mais «certains» clients de l’hôtel auront perdu leurs informations de carte de paiement. Marriott a crypté ces informations à l’aide du cryptage Advanced Encryption Standard (AES-128), mais la société a noté que les deux composants nécessaires au décryptage des numéros de carte de paiement avaient peut-être été volés.

La violation de la base de données de Marriott est troublante

Les atteintes à la base de données sont bien trop courantes, mais il est inhabituel d’entendre une grande entreprise ne pas détecter les accès non autorisés à son réseau et à sa base de données de clients clé pendant une période de quatre ans. La déclaration soigneusement formulée par Marriott n’indique pas qui a obtenu l’accès ni comment. C’est particulièrement inquiétant, car s’il ne s’agissait pas d’un hack ou d’une faille de sécurité totale, c’était peut-être une sécurité bâclée qui permettait à quiconque d’accéder à cette information et de cloner la base de données. Cela vient du fait que Marriott révèle avoir découvert la faille dans la base de données via une version copiée et cryptée. Que cette copie soit publique ou vendue sur le Web sombre reste vague.

«Nous regrettons profondément cet incident», a déclaré le PDG de Marriott, Arne Sorenson. «Nous n’avons pas satisfait ce que nos clients méritent et ce que nous attendons de nous-mêmes. Nous faisons tout ce qui est en notre pouvoir pour aider nos clients et utilisons les leçons apprises pour progresser.  »

Marriott a signalé cette infraction à la police et a commencé à informer les autorités de réglementation. La société a également mis en place un site Web et un centre d’appels dédiés et en informe les clients concernés par courrier électronique dès aujourd’hui. Marriott offre également un accès gratuit à WebWatcher pour se protéger contre les fraudes d’identité. Nous avons contacté Marriott pour clarifier certains aspects inquiétants de cette violation de base de données et nous vous tiendrons au courant en conséquence.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *