A Comissão Federal de Comércio (FTC) anunciou na sexta-feira que finalizou uma ordem exigindo que a Marriott International e a subsidiária Starwood Hotels melhorem sua segurança digital, segundo o BleepingComputer. A FTC acusou as empresas de práticas de segurança laxas que resultaram em três grandes violações detectadas em 2015, 2018 e 2020, “afetando mais de 344 milhões de clientes em todo o mundo”, vazando detalhes de passaportes, cartões de pagamento e outras informações.
A violação mais curta durou 14 meses antes de ser detectada, enquanto a mais longa viu os atacantes manterem acesso por quatro anos, começando em 2018. Os programas de segurança aprimorados que concordaram em estabelecer incluem criar políticas para manter informações apenas pelo tempo necessário e publicar um link permitindo que clientes dos EUA solicitem a exclusão de informações ligadas ao seu endereço de e-mail ou conta de fidelidade.
Os hotéis têm sido um dos muitos alvos importantes para hackers, com uma violação no ano passado deixando a presidente da FTC, Lina Khan, entre as muitas pessoas que ficaram esperando para fazer check-in quando um ataque de ransomware forçou o MGM Resorts a voltar a usar papel e caneta.
A FTC anunciou suas acusações em outubro, acusando as empresas de terem “enganado os consumidores” com falsas alegações de “segurança de dados razoável e apropriada”. Suas falhas alegadas incluíam ter práticas ruins de senhas e firewalls e não corrigir software e sistemas desatualizados. No mesmo dia em que a FTC revelou as acusações, o escritório do Procurador Geral de Connecticut anunciou que a Marriott concordou em um acordo de 52 milhões de dólares.
Além de melhorar sua segurança, as empresas agora estão proibidas “de falsear como coletam, mantêm, usam, excluem ou divulgam as informações pessoais dos consumidores; e a extensão em que as empresas protegem a privacidade, segurança, disponibilidade, confidencialidade ou integridade das informações pessoais.” Outros requisitos incluem manter registros de conformidade e se submeter a inspeções da FTC. A ordem permanecerá em vigor por 20 anos.