Chuỗi khách sạn quốc tế Marriott hôm nay đã tiết lộ một sự vi phạm dữ liệu ảnh hưởng đến gần 5,2 triệu khách của khách sạn, khiến nó trở thành sự cố an ninh thứ hai tấn công công ty trong những năm gần đây.
“Vào cuối tháng 2 năm 2020, chúng tôi đã xác định rằng một lượng thông tin khách không mong muốn có thể đã được truy cập bằng thông tin đăng nhập của hai nhân viên tại một cơ sở nhượng quyền thương mại”, Marriott nói tuyên bố.
“Chúng tôi tin rằng hoạt động này bắt đầu vào giữa tháng 1 năm 2020. Khi phát hiện ra, chúng tôi đã xác nhận rằng thông tin đăng nhập đã bị vô hiệu hóa, ngay lập tức bắt đầu điều tra, thực hiện giám sát nâng cao và sắp xếp các nguồn lực để thông báo và hỗ trợ khách.”
Vụ việc đã phơi bày thông tin cá nhân của khách như chi tiết liên lạc (tên, địa chỉ gửi thư, địa chỉ email và số điện thoại), thông tin tài khoản khách hàng thân thiết (số tài khoản và số dư điểm) và thông tin bổ sung như công ty, giới tính, ngày sinh, phòng sở thích, và sở thích ngôn ngữ.
Gã khổng lồ khách sạn cho biết một cuộc điều tra về vi phạm đang diễn ra, nhưng cho biết không có bằng chứng nào cho thấy mật khẩu hoặc mã PIN tài khoản của Marriott Bonvoy, thông tin thẻ thanh toán, thông tin hộ chiếu, ID quốc gia hoặc số giấy phép lái xe bị xâm phạm.
Marriott cũng đã thiết lập một cổng thông tin trực tuyến tự phục vụ để khách kiểm tra xem các chi tiết cá nhân của họ có liên quan đến vi phạm hay không, và loại thông tin nào đã bị lộ. Ngoài ra, nó cung cấp cho người dùng bị ảnh hưởng tùy chọn đăng ký vào IdentityWorks, dịch vụ giám sát thông tin cá nhân, miễn phí trong 1 năm.
Công ty đã thực hiện bước vô hiệu hóa mật khẩu của các thành viên Marriott Bonvoy, những người có thông tin có khả năng bị lộ trong vụ việc và họ sẽ được thông báo thay đổi mật khẩu trong lần đăng nhập tiếp theo, cũng như được nhắc kích hoạt xác thực đa yếu tố.
Vụ việc xảy ra sau một thỏa hiệp năm 2014 của Khách sạn Starwood đặt phòng khách cơ sở dữ liệu, được Marriott mua lại vào năm 2016. Vi phạm, tiết lộ chi tiết cá nhân của hơn 339 triệu khách trên toàn cầu, đã không được phát hiện cho đến tháng 11 năm 2018, dẫn đến việc phải trả tiền phạt 99 triệu bảng (123 triệu đô la) cho Cơ quan quản lý quyền riêng tư dữ liệu của Vương quốc Anh theo luật GDPR.
“Các loại thông tin được tiết lộ trong vụ vi phạm Marriott mới nhất có vẻ vô hại, nhưng chính xác là loại trí thông minh này cho phép các tác nhân đe dọa nhắm mục tiêu tấn công tốt hơn vào người tiêu dùng”, CTO của GALitbits của STEALTHbits nói với The Hacker News qua email hôm nay.
“Đơn giản là: tôi càng biết nhiều về bạn, tôi càng có cơ hội đánh lừa bạn. Thông tin thỏa hiệp vẫn là một trong những vectơ hàng đầu cho loại thỏa hiệp này và xác thực mạnh mẽ trước khi truy cập thông tin nhạy cảm một trong những biện pháp phòng vệ tốt nhất.”
