Marriott International telah setuju untuk membayar $52 juta dan melakukan perubahan untuk memperkuat keamanan datanya guna menyelesaikan klaim negara bagian dan federal terkait pelanggaran data besar yang memengaruhi lebih dari 300 juta pelanggan di seluruh dunia.
Komisi Perdagangan Federal dan sekelompok jaksa negara bagian dari 49 negara bagian dan Distrik Columbia mengumumkan syarat-syarat penyelesaian terpisah dengan Marriott pada hari Rabu. FTC dan negara-negara menjalankan penyelidikan paralel terhadap tiga pelanggaran data, yang terjadi antara tahun 2014 dan 2020.
Sebagai hasil dari pelanggaran data, "pelaku jahat" memperoleh informasi paspor, nomor kartu pembayaran, nomor keanggotaan loyalitas, tanggal lahir, alamat email, dan/atau informasi pribadi dari ratusan juta konsumen, menurut keluhan yang diusulkan oleh FTC.
FTC mengklaim bahwa praktik keamanan data yang buruk dari Marriott dan anak perusahaan Starwood Hotels & Resorts Worldwide menyebabkan pelanggaran tersebut.
Khususnya, badan itu mengklaim bahwa operator hotel gagal mengamankan sistem komputernya dengan pengendalian kata sandi yang tepat, pemantauan jaringan, atau praktik lain untuk melindungi data.
Sebagai bagian dari penyelesaian yang diusulkan dengan FTC, Marriott setuju untuk "menerapkan program keamanan informasi yang kuat" dan menyediakan semua pelanggannya di AS cara untuk meminta bahwa semua informasi pribadi yang terkait dengan alamat email atau nomor akun loyalty rewards mereka dihapus.
Marriott juga menyelesaikan klaim serupa yang diajukan oleh kelompok jaksa negara bagian. Selain setuju untuk memperkuat praktik keamanan datanya, operator hotel ini juga akan membayar denda $52 juta yang akan dibagi oleh negara-negara.
Dalam sebuah pernyataan di situs webnya pada hari Rabu, Marriott yang berbasis di Bethesda, Maryland, mencatat bahwa perusahaan itu tidak mengakui kesalahan sebagai bagian dari kesepakatan dengan FTC dan negara-negara. Perusahaan juga mengatakan bahwa mereka telah menerapkan peningkatan privasi data dan keamanan informasi.
Pada awal 2020, Marriott mencatat bahwa jumlah informasi tamu yang tidak terduga diakses menggunakan kredensial login dari dua karyawan di properti waralaba. Saat itu, perusahaan memperkirakan bahwa data pribadi sekitar 5,2 juta tamu di seluruh dunia mungkin terpengaruh.
Pada November 2018, Marriott mengumumkan pelanggaran data besar di mana peretas mengakses informasi hingga 383 juta tamu. Dalam kasus tersebut, Marriott mengatakan nomor paspor yang tidak dienkripsi untuk setidaknya 5,25 juta tamu diakses, serta informasi kartu kredit untuk 8,6 juta tamu. Merek hotel yang terpengaruh dioperasikan oleh Starwood sebelum diakuisisi oleh Marriott pada tahun 2016.
FBI memimpin penyelidikan atas pencurian data tersebut, dan penyidik menduga bahwa para peretas bekerja atas nama Kementerian Keamanan Negara Tiongkok, setara dengan CIA.
