| 24 декабря 2024 г. — 5:53 утра по тихоокеанскому времени
Федеральная торговая комиссия (FTC) отреагировала на серию масштабных утечек данных Marriott и Starwood, предписав компаниям внести не менее 13 изменений, чтобы гарантировать невозможность повторения инцидента.
Более 344 миллионов клиентов пострадали от трех отдельных уязвимостей, которые раскрыли личные данные, включая данные кредитных карт и информацию паспортов…
Утечки данных Marriott и Starwood
Первая из трех утечек произошла еще в 2018 году.
Гостиничная группа Marriott International — последняя компания, объявившая о масштабной хакерской атаке на базу данных клиентов.
«Для примерно 327 миллионов таких гостей информация включает комбинацию имени, почтового адреса, номера телефона, адреса электронной почты, номера паспорта, данных учетной записи Starwood Preferred Guest («SPG»), даты рождения, пола, данных о прибытии и отбытии, даты бронирования и предпочтений в общении. Для некоторых информация также включает номера платежных карт и даты истечения срока действия платежных карт, но номера платежных карт были зашифрованы с использованием шифрования Advanced Encryption Standard (AES-128). Существуют два компонента, необходимые для расшифровки номеров платежных карт, и на данный момент Marriott не смогла исключить возможность того, что были украдены оба компонента».
После этого произошли еще две утечки.
ФТК предписывает 13 изменений
ФТК предписала обеим гостиничным группам внедрить масштабные изменения для защиты от любого повторения сбоев, которые позволили успешными стать атакам.
В соответствии с приказом Marriott и Starwood обязаны создать комплексную программу информационной безопасности для защиты личной информации клиентов, внедрить политику хранения личной информации только в течение разумно необходимого времени и разместить на своих веб-сайтах ссылку для клиентов из США с просьбой об удалении личной информации, связанной с их адресом электронной почты или номером учетной записи программы лояльности. Приказ также требует от Marriott проверять учетные записи программы лояльности по запросу клиента и восстанавливать украденные баллы лояльности.
Компании также запрещено искажать информацию о том, как они собирают, хранят, используют, удаляют или раскрывают личную информацию потребителей, а также о степени, в которой компании защищают конфиденциальность, безопасность, доступность, секретность или целостность личной информации.
Учитывая, насколько базовыми являются многие из этих положений, они служат довольно убедительным свидетельством того, насколько плоха ситуация должна была быть. Например, компании не должны лгать о том, что они делают с вашими данными:
Ответчики, должностные лица, агенты и сотрудники Ответчиков, а также все другие лица, находящиеся в активном сговоре или участии с любым из них, получившие фактическое уведомление об этом Приказе, действуя прямо или косвенно, в связи с любым продуктом или услугой, не должны вводить в заблуждение каким-либо образом, явно или подразумеваемо:
A. Сбор, хранение, использование, удаление или раскрытие Ответчиками Личной информации; и
B. Степень, в которой Ответчики защищают конфиденциальность, безопасность, доступность, секретность или целостность Личной информации.
Другие требования включают обучение сотрудников вопросам безопасности данных, создание планов реагирования на угрозы, установление политик обнаружения вторжений и использование двухфакторной аутентификации.
Фото: Джонатан Кемпер на Unsplash