- A ICO inicialmente multada marriott internacional £ 99,2 milhões
- Multa massivamente reduzida em parte devido ao impacto do COVID-19 na indústria hoteleira
A Marriott International foi multada em 18,4 milhões de libras (US$ 23,8 milhões) por não proteger adequadamente os registros pessoais de 339 milhões de hóspedes.
A multa, imposta pelo regulador de dados do Reino Unido, o Escritório do Comissário de Informações (ICO), é 81% menor do que a multa de 99,2 milhões de libras originalmente imposta ao grupo hoteleiro no ano passado.
Já se passaram dois anos desde que Marriott alertou o público de que os hackers conseguiram obter acesso não autorizado ao banco de dados de reservas de hóspedes starwood desde 2014, expondo nomes de hóspedes, endereços de e-mail, números de telefone, endereços de e-mail, informações da conta starwood preferred guest (“SPG”), datas de nascimento, sexos, informações de chegada e partida, datas de reserva e preferências de comunicação. Além disso,
milhões de números de cartões de pagamento criptografados e números de passaportes também foram violados.
Os hackers continuaram a exfiltrar dados confidenciais do sistema depois que Marriott adquiriu a Starwood em 2016, continuando a roubar dados pessoais despercebidos pela Marriott até 2018.
Na época, a violação foi descrita como a segunda maior violação de dados da história.
A ICO determinou que a Marriott “falhou em realizar diligências suficientes” quando comprou a Starwood e deveria ter feito mais para proteger seus sistemas de cibercriminosos, mas agora reduziu drasticamente a multa que está impondo à empresa internacional.
Por que a redução maciça de US$ 99,2 milhões para £18,4 milhões? De acordo com a ICO, agora levou em conta as medidas que a Marriott tomou para mitigar os efeitos do incidente e o impacto econômico que o COVID-19 teve no negócio hoteleiro.
Uma decisão semelhante foi tomada há duas semanas pela OIC em relação à British Airways, que teve sua multa de violação de dados de 2018 reduzida de £ 183 milhões para £ 20 milhões, apesar de um catálogo de erros.
A Comissária de Informação do Reino Unido, Elizabeth Denham, disse:
“Os dados pessoais são preciosos e as empresas têm que cuidar dele. Milhões de dados de pessoas foram afetados pela falha de Marriott; milhares entraram em contato com uma linha de ajuda e outros podem ter tido que tomar medidas para proteger seus dados pessoais porque a empresa com a quem confiavam não tinha.”
Eu certamente não posso discordar disso.
E embora eu simpatize com aqueles que têm a visão de que Marriott se esquivou de algo como uma bala financeira – devido à coincidência de que estava sendo investigada por uma enorme violação de dados enquanto a indústria hoteleira estava lutando contra uma pandemia global – espero que mesmo essa multa reduzida ajude a acordar outras empresas para a necessidade de sempre tratar a segurança dos dados como prioridade.
Talvez outras empresas também precisem considerar com mais cuidado a importância das auditorias de segurança ao se fundir, e não tomar como certo que ela já está protegida contra hackers.
FONTE: BITDEFENDER