Marriott e Starwood: Uma Crônica de Violações de Dados

Nos últimos anos, as redes hoteleiras Marriott International e sua subsidiária Starwood Hotels & Resorts Worldwide enfrentaram uma série de incidentes de segurança que comprometeram informações pessoais de milhões de clientes. Essas falhas resultaram em ações significativas por parte da Federal Trade Commission (FTC) dos Estados Unidos e de outras autoridades reguladoras.

Histórico das Violações de Dados

As violações de dados nas redes Marriott e Starwood ocorreram em três incidentes principais:

1. Primeira Violação (2014-2015): Em junho de 2014, a rede Starwood sofreu uma invasão que resultou no acesso não autorizado a informações de pagamento de mais de 40.000 clientes. Essa violação permaneceu indetectada por 14 meses, sendo divulgada apenas em novembro de 2015, poucos dias após o anúncio da aquisição da Starwood pela Marriott.
2. Segunda Violação (2014-2018): A partir de julho de 2014, hackers mantiveram acesso contínuo aos sistemas da Starwood, comprometendo aproximadamente 339 milhões de registros de hóspedes em todo o mundo. Entre as informações expostas estavam 5,25 milhões de números de passaportes não criptografados. Essa intrusão só foi detectada em setembro de 2018.
3. Terceira Violação (2018-2020): Entre setembro de 2018 e fevereiro de 2020, a própria rede da Marriott foi alvo de ataques, resultando no comprometimento de 5,2 milhões de registros de hóspedes globalmente. Os dados acessados incluíam nomes, endereços, e-mails, números de telefone, datas de nascimento e informações de contas de fidelidade.

Tipos de Dados Expostos

As informações comprometidas nos incidentes incluíram:

• Informações Pessoais: Nomes, endereços postais, endereços de e-mail, números de telefone, datas de nascimento e gêneros.
• Documentos Oficiais: Números de passaportes, sendo que mais de 5 milhões estavam em formato não criptografado.
• Informações Financeiras: Números de cartões de crédito e débito, datas de validade e códigos de segurança.
• Dados de Programas de Fidelidade: Números de contas, saldos de pontos e informações de login.

Multas e Penalidades Aplicadas

A FTC determinou que a Marriott e a Starwood implementem um programa rigoroso de segurança de dados após sucessivos vazamentos que comprometeram informações de milhões de clientes. As medidas incluem criptografia, autenticação multifator, políticas de retenção de dados, monitoramento de TI e auditorias regulares. A ordem exige que as mudanças sejam concluídas até junho de 2025 e terá validade por 20 anos.

As consequências financeiras para a Marriott e a Starwood foram significativas:

• Reino Unido: O Information Commissioner’s Office (ICO) multou a Marriott em £99,2 milhões (aproximadamente R$ 470 milhões) por violações ao Regulamento Geral sobre a Proteção de Dados (GDPR). A autoridade britânica considerou que a empresa não realizou investigações suficientes ao adquirir a Starwood e falhou em proteger adequadamente os dados dos clientes. Tecnoblog
• Estados Unidos: A Marriott concordou em pagar US$ 52 milhões em um acordo com 49 estados e o Distrito de Columbia para resolver alegações relacionadas às violações de dados. Além disso, a FTC exigiu a implementação de um programa robusto de segurança da informação. AP News

Ações Preditivas e Corretivas Implementadas

Em resposta às violações e às exigências das autoridades, a Marriott e a Starwood adotaram várias medidas para reforçar sua segurança de dados:

• Programa de Segurança da Informação: Implementação de um programa abrangente para proteger a confidencialidade e integridade dos dados pessoais, conforme exigido pela FTC. theverge
• Minimização de Dados: Políticas para reter informações pessoais apenas pelo tempo necessário para cumprir a finalidade para a qual foram coletadas.
• Transparência com os Consumidores: Fornecimento de meios para que os clientes solicitem a exclusão de suas informações pessoais associadas a endereços de e-mail ou números de contas de programas de fidelidade.
• Revisão de Contas de Fidelidade: Permissão para que os consumidores solicitem a revisão de atividades não autorizadas em suas contas de fidelidade e restauração de pontos que possam ter sido roubados.
• Melhoria nos Controles de Segurança: Fortalecimento de controles de senha, implementação de autenticação multifator, segmentação de rede e atualização regular de sistemas para corrigir vulnerabilidades.
• Criptografia de Dados: Proteção avançada para dados sensíveis.
• Autenticação Multifator: Controle de acesso robusto.
• Monitoramento Contínuo: Detecção e mitigação de ameaças em tempo real.
• Auditorias Regulares: Avaliações periódicas para garantir conformidade e segurança.

Lições Aprendidas e Recomendações

Os incidentes envolvendo a Marriott e a Starwood destacam a importância de práticas robustas de segurança da informação, especialmente em empresas que lidam com grandes volumes de dados pessoais. A conformidade com regulamentações de proteção de dados e a transparência com os consumidores são fundamentais para manter a confiança e evitar sanções regulatórias.

É essencial que as empresas:

• Implementem Controles de Segurança Adequados: Como autenticação multifator, controles de acesso rigorosos e monitoramento contínuo de redes.
• Atualizem Regularmente Seus Sistemas: Garantindo que softwares e sistemas estejam protegidos contra vulnerabilidades conhecidas.
• Eduquem e Treinem Seus Funcionários: Para reconhecer e responder a ameaças potenciais, reduzindo o risco de erros humanos que comprometam a segurança.

A adoção de uma abordagem proativa na proteção de dados não apenas previne incidentes de segurança, mas também fortalece a reputação da empresa perante seus clientes e o mercado.