Die Federal Trade Commission gab am Freitag bekannt, dass sie eine Anordnung (PDF) abgeschlossen hat, die Marriott International und die Tochtergesellschaft Starwood Hotels verpflichtet, ihre digitale Sicherheit zu verbessern, berichtet BleepingComputer. Die FTC warf den Unternehmen laxe Sicherheitspraktiken vor, die dazu führten, dass in den Jahren 2015, 2018 und 2020 drei große Verstöße festgestellt wurden, von denen „mehr als 344 Millionen Kunden weltweit betroffen waren“ und Passdaten, Zahlungskarten und andere Informationen preisgaben.
Die kürzeste Sicherheitsverletzung dauerte 14 Monate, bevor sie entdeckt wurde, während die Angreifer ab 2018 vier Jahre lang den Zugriff aufrechterhielten Dies ist erforderlich und die Veröffentlichung eines Links, über den US-Kunden die Löschung der mit ihrer E-Mail-Adresse oder ihrem Treuekonto verknüpften Informationen beantragen können.
Hotels waren eines von vielen Hauptzielen für Hacker. Im vergangenen Jahr erwischte ein Verstoß die FTC-Vorsitzende Lina Khan unter den vielen Menschen, die darauf warteten, einzuchecken, als ein Ransomware-Angriff MGM Resorts dazu zwang, auf Stift und Papier zurückzugreifen.
Die FTC gab ihre Anklage im Oktober bekannt und warf den Unternehmen vor, „Verbraucher getäuscht“ zu haben, indem sie falsche Behauptungen über „angemessene und angemessene Datensicherheit“ aufstellten. Zu den angeblichen Fehlern gehörten fehlerhafte Passwort- und Firewall-Praktiken sowie das fehlende Patchen veralteter Software und Systeme. Am selben Tag, an dem die FTC die Vorwürfe offenlegte, gab die Generalstaatsanwaltschaft von Connecticut bekannt, dass Marriott einem Vergleich in Höhe von 52 Millionen US-Dollar zugestimmt hatte.
Über die Verbesserung ihrer Sicherheit hinaus ist es den Unternehmen nun verboten, „falsche Darstellungen darüber zu machen, wie sie personenbezogene Daten von Verbrauchern sammeln, verwalten, verwenden, löschen oder offenlegen; und das Ausmaß, in dem die Unternehmen die Privatsphäre, Sicherheit, Verfügbarkeit, Vertraulichkeit oder Integrität personenbezogener Daten schützen.“ Zu den weiteren Anforderungen gehört, dass sie Compliance-Aufzeichnungen führen und sich FTC-Inspektionen unterziehen. Die Anordnung bleibt 20 Jahre lang in Kraft.
