Marriott annonce une brèche de données affectant 500 millions de clients

Tagged

C’est le genre de fuite de donnée dont on préférerait se passer : le groupe Mariott a ainsi annoncé qu’une brèche de données avait permis à des cybercriminels de s’emparer des données personnelles de plus de 500 millions de clients des hôtels du groupe. La brèche concerne tout particulièrement les clients ayant séjourné dans un hôtel de la division Starwood : ce groupe racheté par Mariott gère notamment les chaînes d’hôtel Sheraton ou Le Meridien.

Les cybercriminels ont pu accéder à une base de données contenant les données appartenant à la chaîne et utilisées pour enregistrer les données personnelles des clients. Celle-ci était accessible depuis 2014 selon le groupe. Le groupe hôtelier confirme que pour un peu plus de 327 millions de clients, les données relatives à leur séjour ont pu être dérobées.

Parmi les données exposées, on retrouve les noms, prénoms, dates de naissance, numéros de téléphone et adresses email. L’entreprise précise également que certaines données de carte bancaire étaient contenues dans la base de donnes, mais sous une forme chiffrée (AES 128bits) et le groupe n’est pas capable de dire si ces données ont pu être déchiffrées.

« Deux éléments sont nécessaires pour déchiffrer les données de carte bancaires chiffrées et pour l’instant, l’enquête ne permet pas de déterminer si les cybercriminels sont parvenus à s’emparer des deux », écrit le groupe sur le site dédié à l’incident. Pour traduire en des termes plus précis : le groupe n’est pas en mesure de savoir si les clefs de chiffrement des données bancaires ont également été volées. Le groupe affirme avoir pris contact avec les autorités afin de les informer de la situation. L’entreprise a annoncé qu’elle contacterait les clients affectés par la fuite de données afin de les alerter.

Les données clients en open-bar

Mariott a racheté les hôtels gérés par Starwood en 2016. Les deux entités utilisent des systèmes différents et séparés pour gérer l’enregistrement des clients. Pour l’instant, les clients affectés sont ceux qui ont pris une réservation dans les hôtels de Starwood. Les clients des autres hôtels Mariott ne sont pour l’instant pas inquiétés.

Au vu de la clientèle habituelle de ces chaînes d’hôtels plutôt habitués à recevoir des clients fortunés, on peut reconnaître qu’il s’agit d’une belle prise pour les cybercriminels qui ont pu récupérer par ce biais des données précieuses.

Pour le groupe, la situation est délicate : Mariott a confirmé être entré en contact avec l’autorité de protection des données britanniques, qui devra se pencher sur l’affaire afin de déterminer si la réaction du groupe était en conformité avec le RGPD. L’attaque ayant été découverte au mois de septembre, les autorités pourraient lui reprocher d’avoir tardé à prévenir les autorités : le règlement européen prévoit ainsi que les sociétés victimes d’une brèche de données concernant des citoyens européens doivent le signaler aux autorités de protection des données.

Source

Un internaute pirate 50 000 imprimantes et demande aux victimes de s'abonner à PewDiePie
9 moyens d'amplifier l'impact positif des outils de collaboration

voir aussi: