Comissão Federal de Comércio anunciado terminou na sexta-feira ordem (pdf) exigindo que a Marriott International e sua subsidiária Starwood Hotels melhorem sua segurança digital, notícias BipandoComputador. A FTC acusou as empresas de práticas de segurança negligentes que levaram a três grandes violações descobertas em 2015, 2018 e 2020 “que afetaram mais de 344 milhões de clientes em todo o mundo”, vazando passaporte, cartão de pagamento e outras informações.
A violação mais curta levou 14 meses para ser descoberta, enquanto a mais longa viu os invasores manterem o acesso por quatro anos, começando em 2018. Os programas de segurança aprimorados que eles concordaram em implementar incluem a criação de políticas que permitem que as informações sejam mantidas apenas por esse tempo, desde que necessário e postar um link que permite aos clientes dos EUA solicitar a exclusão de informações associadas ao seu endereço de e-mail ou conta de fidelidade.
Os hotéis têm sido um dos principais alvos dos hackers, e no ano passado a presidente da FTC, Lina Khan, foi encontrada entre as muitas pessoas que esperavam para fazer check-in quando um ataque de ransomware foi forçado. Resorts MGM volte a usar lápis e papel.
A FTC anunciou suas acusações em outubroacusando as empresas de “enganar os consumidores” com falsas alegações sobre “segurança de dados adequada e apropriada”. Suas supostas falhas incluíam práticas inadequadas de senha e firewall e falha na correção de software e sistemas desatualizados. No mesmo dia em que a FTC divulgou as alegações, o gabinete do procurador-geral de Connecticut anunciou que a Marriott havia concordado com um acordo de US$ 52 milhões.
Além de melhorar a sua segurança, as empresas estão agora proibidas de “deturpar a forma como recolhem, mantêm, utilizam, eliminam ou divulgam informações pessoais dos consumidores; e até que ponto a empresa protege a privacidade, segurança, disponibilidade, confidencialidade ou integridade das informações pessoais.” Outros requisitos incluem que mantenham registros de conformidade e se submetam às inspeções da FTC. A ordem permanecerá em vigor por 20 anos.