Marriott erklärte sich bereit, eine Entschädigung in Höhe von 52 Millionen US-Dollar an 49 Bundesstaaten und Washington, D.C. zu zahlen, wegen einer Reihe von Datenverstößen zwischen 2014 und 2020, von denen mehr als 334 Millionen Kunden betroffen waren. Im Rahmen einer separaten Vereinbarung verlangt die Federal Trade Commission außerdem, dass Marriott und seine Tochtergesellschaft Starwood Hotels & Resorts Worldwide ein Informationssicherheitsprogramm implementieren, um Anklagen wegen Datenschutzverstößen zu begleichen.
„Marriotts schlechte Sicherheitspraktiken führten zu mehreren Verstößen, von denen Hunderte Millionen Kunden betroffen waren“, sagte Samuel Levine, der Direktor des Bureau of Consumer Protection der FTC, in einer Erklärung. „Die heutige Aktion der FTC wird in Abstimmung mit unseren staatlichen Partnern sicherstellen, dass Marriott seine Datensicherheitspraktiken in Hotels auf der ganzen Welt verbessert.“
Nach Angaben der FTC haben Marriott und Starwood, die 2016 übernommen wurden, Kunden getäuscht, indem sie behaupteten, sie hätten eine angemessene und angemessene Datensicherheit, sie aber stattdessen anfällig für Sicherheitsverletzungen gemacht. In der Beschwerde der FTC wird behauptet, Marriott habe es versäumt, angemessene Passwortkontrollen, Firewall-Kontrollen oder Netzwerksegmentierung zu implementieren. Das Unternehmen versäumte es, veraltete Software und Systeme zu patchen und setzte keine Multifaktor-Authentifizierung ein, so die FTC.
Bei einem im Jahr 2020 entdeckten Vorfall stahlen Hacker etwa 20 GB Mitarbeiter- und Kundendaten aus dem BWI Airport Marriott in Baltimore, Maryland. Zu den Daten gehörten vertrauliche Geschäftsdokumente und Zahlungsinformationen von Kunden, einschließlich Kreditkartenautorisierungsformularen.
Im Rahmen des Vergleichs hat Marriott zugestimmt, allen US-Kunden die Möglichkeit zu geben, die Löschung aller persönlichen Daten im Zusammenhang mit ihren E-Mail-Adressen oder Treueprämien-Kontonummern zu beantragen. Nach Angaben der FTC wurden bei den Verstößen Reisepassinformationen, Debit- und Kreditkartennummern, Geburtsdaten, E-Mail-Adressen, Treuenummern und andere Informationen der Kunden offengelegt. Marriott ist außerdem verpflichtet, Prämienkonten zu überprüfen und die gestohlenen Prämienpunkte der Kunden auf Anfrage wiederherzustellen.
