Direito Digital e Compliance

Categorias


Direito Digital e Compliance

Marriott International sofre uma das maiores violações de dados da história

Aproximadamente 500 milhões de registros de hóspedes dos hotéis Marriott International foram violados. A multa pode ser milionária.

Ricardo Córdoba BaptistaRicardo Córdoba Baptista

A maior cadeia de hotéis do mundo, a Marriott International, divulgou ontem (30/11) que os dados pessoais de aproximadamente 500 milhões de hóspedes foram comprometidos.

Possivelmente, após o ataque sofrido em 2016 pelo Yahoo, no qual quase 3 bilhões de contas de usuários foram violadas, esta é uma das maiores violações de dados da história.

Incidentes como esse revelam, mais uma vez, que até mesmo as grandes corporações, teoricamente capacitadas financeiramente para realizar investimentos na área de segurança da informação, podem ter seus dados violados.

Em comunicado, a Marriott diz que recebeu em 8 de setembro de 2018 o alerta de uma ferramenta de segurança interna referente a uma tentativa de acesso ao banco de dados do sistema de reservas da Starwood. As marcas de hotéis da rede Starwood incluem Sheraton, Westin, Four Points e W Hotels. 1

Marriott International sofre uma das maiores violações de dados da história

Apesar de não saber exatamente como ocorreu o incidente, a Marriot acredita que cerca de 327 milhões de hóspedes tiveram suas informações expostas. Os dados incluem nomes, endereços de correspondência, números de telefones, endereços de e-mails, números de passaportes, datas de nascimento, sexos, informações de chegada e partida, data de reserva e preferências de comunicação.

Os dados de cartão de crédito de algumas dessas pessoas também podem ter sido violados. Embora os detalhes dos cartões fossem criptografados (AES-128), impossibilitando, em tese, que os invasores fizessem uso deles, a Marriott diz não descartar a possibilidade de que as chaves secretas necessárias para descriptografá-los também tenham sido comprometidas.

De qualquer forma, ainda que as informações dos cartões de crédito não tenham como ser descriptografadas, há muitas outras informações que fraudadores podem explorar para obtenção de vantagens ilícitas.

A procuradora-geral de Nova York, Barbara Underwood, disse no Twitter que “uma investigação foi aberta e os nova-iorquinos merecem saber que suas informações pessoais serão protegidas”.

Além dos problemas legais que a Marriot enfrentará, o incidente provocou queda de 5% em suas ações. 2

No âmbito da aplicação da GDPR (Regulamento Geral de Proteção de Dados), que entrou em vigor no início deste ano, muitas pessoas incluídas nesse banco de dados residem na União Europeia, o que poderá ensejar a aplicação de multa de elevado valor: até 20 milhões de Euros ou 4% do faturamento anual global da empresa (o que for maior).

A empresa informou que entrará em contato com as vítimas do incidente e oferecerá apoio, incluindo uma inscrição gratuita por um ano no WebWatcher, um serviço que monitora sites da Internet onde dados pessoais são compartilhados, gerando um alerta ao consumidor.

Se você já esteve em uma das cadeias de hotéis afetadas por essa violação de dados, confira o FAQ da Marriott.

Proteção de dados no Brasil

A nossa Lei Geral de Proteção de Dados, que representa um marco legal para proteção de dados pessoais e a privacidade no Brasil, cria uma regulamentação para o uso, proteção e transferência de dados, nos âmbitos privado e público, e estipula multas que podem chegar a multa de 50 milhões de reais por incidente.

Atualização:

A Unidade Especial de Proteção de Dados e Inteligência Artificial do Ministério Público do Distrito Federal e Territórios (MPDFT) instaurou um Inquérito Civil Público nesta segunda-feira (03) para investigar o vazamento de dados de hóspedes da rede hoteleira Starwood Hotels and Resorts, subsidiária da Marriott International.

Clique aqui para ler a Portaria do MP

Referências

  1. Starwood Guest Reservation Database Security Incident: https://answers.kroll.com/
  2. Marriott International becomes the hackers’ latest victim: https://www.economist.com/business/2018/11/30/marriott-international-becomes-the-hackers-latest-victim

Advogado com pós-graduações em Direito Digital, Compliance e Segurança da Informação. Graduação em Filosofia. Certificado EXIN Data Protection Officer (PDPP). Membro da Internet Society. Faz parte do escritório Silva, Santana & Teston Advogados.

Comments 0
There are currently no comments.