Ngày 31/3, Marriott đăng thông báo gửi tới hành khách của mình về sự cố từ hệ thống bảo mật có liên quan đến thông tin cá nhân của 5,2 triệu khách bị đánh cắp. Thông tin cho biết, vụ tấn công xâm phạm dữ liệu của khách hàng đang được cơ quan chức năng điều tra.
Marriot cho biết vụ tấn công lấy cắp dữ liệu có từ giữa tháng 1 nhưng vào cuối tháng 2 mới được phát hiện.
Tin tặc đã sử dụng thông tin đăng nhập của hai nhân viên từ một trong các tài sản nhượng quyền của chuỗi khách sạn, trong đó có Marriott Bonvoy, để truy cập thông tin khách hàng từ các hệ thống backend của ứng dụng.
Những tin tặc này truy cập trực tiếp vào dữ liệu khách hàng thân thiết của khách sạn Marriott Bonvoy như: Chi tiết liên lạc (ví dụ: tên, địa chỉ gửi thư, địa chỉ email và số điện thoại); Thông tin tài khoản khách hàng trung thành (số tài khoản và số dư điểm, nhưng không phải mật khẩu); Chi tiết thông tin cá nhân khác (công ty, giới tính, ngày/tháng/năm sinh); Quan hệ đối tác và chi nhánh (các chương trình và số lượng khách hàng thân thiết được liên kết; Các tùy chọn (ưu tiên lưu trú/phòng và ưu tiên ngôn ngữ).
Mặc dù không phải tất cả thông tin được truy cập cho mọi khách tham gia, nhưng các chi tiết bị rò rỉ được cho là bao gồm thông tin liên lạc, chẳng hạn như tên, địa chỉ gửi thư, số điện thoại và địa chỉ email, và các chi tiết cá nhân khác như công ty, giới tính và ngày sinh.
Marriot cho biết, thông tin tài khoản khách hàng bị đánh cắp (không bao gồm mật khẩu và mã PIN tài khoản), các chương trình khách hàng thân thiết của hãng hàng không được liên kết và số tài khoản tương ứng, và các ưu tiên chỉ định của khách như lựa chọn ngôn ngữ và phòng cũng có khả năng bị lộ.
Marriott hiện đang liên hệ với tất cả các khách của mình có liên quan để thông báo cho họ về vụ việc và đề xuất các bước thực hiện để giữ an toàn thông tin. Công ty cũng đã thiết lập một trung tâm cuộc gọi và cập nhật thông tin liên quan trên trang web chuyên dụng mysupport.marriott.com cho khách bị ảnh hưởng về việc đăng kí dịch vụ giám sát thông tin cá nhân mà Marriott đang cung cấp.
Trả lời các câu hỏi về lí do tại sao công ty đã đợi một tháng trước khi công khai về vi phạm, Marriott cho biết, "Chúng tôi vẫn đang điều tra vụ việc. Chúng tôi đã xác định rằng một lượng thông tin khách không mong muốn có thể đã được truy cập bằng thông tin đăng nhập của hai nhân viên tại một cơ sở nhượng quyền.
Chúng tôi có một số chính sách và kiểm soát tại chỗ liên quan đến ứng dụng tài sản có liên quan. Marriott vẫn cam kết tăng cường hơn nữa các biện pháp bảo vệ để phát hiện và khắc phục các sự cố như trong tương lai".
Đây là vụ vi phạm bảo mật thứ hai mà thông tin khách bị đánh cắp tại chuỗi khách sạn của Marriott. Trước đó, một vụ tương tự xảy ra vào năm 2018, khi hệ thống đặt phòng qua mạng của Starwood - đơn vị nhượng quyền của Marriott, đã khiến 383 triệu hồ sơ khách hàng bị đánh cắp, bao gồm: Tên, địa chỉ gửi thư, số điện thoại, địa chỉ email, số hộ chiếu và số thẻ thanh toán.