Hoy, Marriott reveló una violación de datos a gran escala que afectó a 500 millones de clientes que se han alojado en un hotel con la marca Starwood en los últimos cuatro años. Si bien los detalles de la violación aún son escasos, Marriott declaró que no había acceso no autorizado a una base de datos vinculada a las reservas de los clientes desde el 2014 hasta el 10 de septiembre de 2018.
Para la mayoría de los clientes afectados (aproximadamente 327 millones), los datos violados incluyen una combinación de nombre, dirección postal, número de teléfono, dirección de correo electrónico, número de pasaporte, información de la cuenta de Starwood Preferred Guest, fecha de nacimiento, sexo, información de llegada y salida, Fecha de reserva, y preferencias de comunicación. Para algunos de esos invitados, se expusieron sus números de tarjeta de crédito y las fechas de vencimiento, sin embargo, se cifraron utilizando el Estándar de cifrado avanzado (AES-128) .
Puede leer más sobre el impacto para los clientes en la declaración de Marriott aquí .
Actualmente se desconoce la causa raíz de la violación, pero Marriott indicó que los intrusos cifraron la información antes de filtrar los datos. Brian Krebs informó que Starwood reportó su propio incumplimiento en 2015, poco después de la adquisición por parte de Marriott. En ese momento, Starwood dijo que su línea de tiempo de incumplimiento se extendió un año más o menos a noviembre de 2014. La remediación incompleta de los incumplimientos es extremadamente común, y cuando se complica con los desafíos de administración de activos introducidos por las fusiones y adquisiciones, se observa un movimiento lateral y una exfiltración después de un corte inicial. No es irrazonable.
Las propiedades de Starwood afectadas son las siguientes:
- Westin
- Sheraton
- La colección de lujo
- Cuatro puntos por el Sheraton
- Hoteles W
- St. Regis
- Le Méridien
- En alto
- Elemento
- Portafolio Tributo
- Hoteles de diseño
Que deberias hacer al respecto?
Si eres cliente:
- Cambie su contraseña para su programa Starwood Preferred Guest Rewards inmediatamente. Las contraseñas aleatorias generadas por un administrador de contraseñas de su elección deberían ser las más útiles.
- Revise sus cuentas bancarias y de tarjetas de crédito para detectar actividades sospechosas.
- Considere una congelación de crédito si le preocupa que su información financiera haya sido comprometida.
- Cuidado con las estafas relacionadas con infracciones; Los ciberdelincuentes saben que esto es una violación masiva y de interés periodístico, por lo que aprovecharán la oportunidad de atrapar a los usuarios a través de la ingeniería social. Revisar los correos electrónicos supuestamente de Marriott con un ojo de águila.
Si usted es un negocio que busca consejos para evitar ser golpeado por una infracción:
- Invierta en un producto de protección de punto final y un programa de prevención de pérdida de datos para asegurarse de que las alertas sobre ataques similares lleguen a su personal de seguridad lo más rápido posible.
- Eche un vistazo a su programa de gestión de activos:
- ¿Tiene un 100 por ciento de contabilidad de todos sus activos externos?
- ¿Tiene perfiles de usuario uniformes en su negocio para todos los casos de uso?
- Cuando se trata de un movimiento lateral después de una brecha inicial, no puedes captar lo que no puedes ver. El primer paso para una mejor postura de seguridad es saber con qué tienes que trabajar.
En un mundo donde parece que las infracciones no pueden ser contenidas, los consumidores y las empresas una vez más tienen que lidiar con las consecuencias. Nuestro consejo a las organizaciones: No te conviertas en un cuento de advertencia. Guarde la molestia de sus clientes y salve la reputación de su empresa tomando medidas proactivas para asegurar su empresa hoy.
Sobre el autor