Na sexta-feira (30), a imprensa divulgou a notícia de que cibercriminosos conseguiram acessar ao banco de dados no qual estão os registros das reservas de hóspedes do Starwood Hotels & Resorts, pertencente a uma das maiores redes hoteleiras do mundo, Marriot Internacional. O incidente comprometeu informações pessoais de 500 milhões de clientes que fizeram uma reserva em um dos hotéis Starwood.
De acordo com as informações que temos até agora, acredita-se que este incidente de segurança pode se tornar o segundo maior vazamento de dados da história depois do incidente com o Yahoo em 2013, quando todas as contas dos usuários foram comprometidas.
Em 2015, a Marriot Internacional realizou a compra do Starwood Hotels & Resorts, que inclui marcas bem conhecidas, tais como Sheraton, Four Points, St. Regis, W Hotels, Westin, Le Meridien, The Luxury Collection, Le Meridien, Tribute Portfolio, Design Hotels, Aloft e Element.
Em um comunicado publicado pela Marriott International, a empresa confirmou o incidente e explicou que, através de uma investigação descobriu que cibercriminosos tiveram acesso ao banco de dados até 10 de setembro de 2018. Por isso, aqueles clientes que realizaram uma reserva antes dessa data podem ter sido vítimas do ataque. Além disso, outro dado que surgiu a partir dessa investigação é que foi possível descobrir que desde 2014 ocorreu um acesso não- autorizado à rede da Starwood.
É importante mencionar que o incidente afeta clientes que fizeram uma reserva em hotéis de propriedade da Starwood (marcas mencionadas acima), já que a Marriott usa um sistema de reservas independente e em uma rede diferente.
Embora a investigação não tenha sido concluída, a empresa explicou que as informações comprometidas de aproximadamente 327 milhões de hóspedes (dos 500 milhões que fizeram uma reserva) incluem: nome, e-mail, endereço postal, número de telefone, número de passaporte, data de nascimento, entre outros. Além disso, em alguns casos, os números de cartão de crédito e a data de expiração também são incluídos e, embora os números dos cartões tenham sido criptografados usando padrões avançados de criptografia (AES-128), não se pode descartar a possibilidade de descriptografia dos dados.
Como parte das medidas tomadas pela Marriott, foi criado um site que está disponível em vários idiomas, detalhando o que aconteceu e incluindo uma seção com as respostas para as perguntas mais frequentes sobre o incidente. Além disso, a empresa disponibilizou um call center em vários idiomas e em vários países, para responder a perguntas dos clientes.
Por outro lado, a Marriot garante que vai começar a notificar as vítimas via e-mail.
Outro serviço oferecido pela Marriott, embora apenas para clientes afetados nos Estados Unidos, no Canadá ou no Reino Unido, é uma assinatura anual da WebWathcher - um serviço usado para monitorar sites da Internet em que informações pessoais são trocadas e em que os usuários podem criar alertas que notificam quando é detectado que suas próprias informações são compartilhadas na Internet.
Recomendações para os afetados no vazamento
A pesquisadora de segurança da ESET, Lysa Myers, publicou algumas recomendações para aqueles que podem ter sido afetados pelo incidente. Em primeiro lugar, a especialista recomenda alterar a senha das contas dos hotéis pertencentes ao Marriott, e caso o usuário tenha usuado a mesma senha em outra conta, também é recomendável modificá-la. Por outro lado, é fundamental ativar o fator duplo de autenticação em todas as contas ou serviços possíveis.
Também é importante monitorar as contas bancárias por um tempo a fim de que seja possível detectar qualquer movimento suspeito. Nesse sentido, pode ser útil considerar o “congelamento” do cartão, pois dessa forma é possível colocar uma trava para que terceiros não acessem os registros e não possam criar novas contas usando dados pessoais.
Outra recomendação é estar atento para possíveis golpes. Os clientes afetados podem ser mais propensos a cair em golpes através de técnicas de engenharia social que podem ser usadas para enganar vítimas ansiosas e preocupadas com o que aconteceu. Portanto, lembre-se de não clicar em links incluídos nos e-mails que podem se aproveitar desse vazamento de dados. Em caso de dúvida, escreva manualmente o endereço web genuíno e entre em contato com a empresa.
O que mais pode acontecer após esse vazamento?
Esse vazamento de dados tem implicações negativas para a Marriott e para a Starwood, não apenas pela proporção, mas também porque passou despercebida durante a aquisição da Starwood Hotels & Resorts pela Marriott International em 2015. De acordo com o pesquisador colaborador da ESET, Stephen Coob, todas as marcas envolvidas provavelmente sofrerão o custo de prejuízos à reputação, bem como múltiplas formas de risco legal: "Haverá ações coletivas de clientes e acionistas, bem como investigações da Procuradoria Geral dos Estados Unidos até pelas autoridades responsáveis pela proteção de dados na União Europeia. Levando em conta este último, estamos enfrentando o maior vazamento de dados desde que o Regulamento Geral de Proteção de Dados (GDPR) se tornou efetivo".