Esse tem sido um péssimo mês para a rede de hotéis Marriott International. Nesta terça-feira (31), a companhia revelou que foi hackeada mais uma vez, com registros de até 5,2 milhões de clientes expostos.
Não foi a única má notícia. Na semana passada, a companhia deu uma licença temporária para milhares de funcionários depois as reservas de hospedagem despencar devido ao surto causado pelo novo coronavírus. Ou por outra, o preço de suas ações despencou mais de 50% desde o início do ano.
Esse é o terceiro ciberataque muito-sucedido contra a Marriott nos últimos 18 meses, de congraçamento com o Wall Street Journal.
Desta vez, o estrago é muito menor do que a invasão de 2018 que expôs mais de 500 milhões de registros de clientes e rendeu uma multa de US$ 124 milhões, além de outras responsabilidades legais, à rede hoteleira.
O novo vazamento também parece envolver dados menos sensíveis. Por outro lado, ele é muito maior do que o vazamento revelado em outubro de 2019, quando dados de 1.552 funcionários, incluindo nomes, endereços e números da Segurança Social (equivalente ao CPF no Brasil) foram obtidos.
Os atacantes podem ter roubado até 5,2 milhões de registros de participantes do programa de fidelidade Marriott Bonvoy, segundo um enviado à prelo da companhia. As informações expostas, incluem detalhes de contato e endereço, dados do programa de fidelidade e informações pessoais porquê empregador, sexo e natalício.
A rede de hotéis acredita que o ataque começou em janeiro de 2020, embora não tenha notado até o final de fevereiro.
A Marriot escreveu no enviado que não havia provas de que os atacantes pudessem acessar qualquer informação de pagamento, porquê números de cartão de crédito e PINs. Disse o mesmo para as senhas de clientes, passaportes e números de identificação.
No entanto, vazamentos porquê esse podem ajudar os criminosos a empregar golpes de phishing mais sofisticados que visam enganar os usuários expostos a entregar as credenciais bancárias.
O porta-voz da Marriott, Brendan McManus, disse ao WSJ que quem quer que estivesse por trás do ataque usou credenciais de login de dois funcionários de um hotel franqueado na Rússia. Ele se recusou a comentar sobre a possibilidade de esses funcionários serem suspeitos, dizendo que a “investigação está em curso, e é muito prematuro comentar sobre isso”.
“A maioria dos vazamentos poderiam simplesmente ser evitados com autenticação em dois fatores”, disse David Kennedy, CEO da empresa de cibersegurança TrustedSec, à Wired. “Para qualquer tipo de aproximação ressaltado, as organizações deveriam estar alavancando controles de segurança aprimorados. A autenticação multifator deve ser aplicada para todos. E para contas importantes que têm altos níveis de aproximação, o escrutínio da segurança deve ser ainda mais extenso.”
Rusty Carter, presidente da empresa de cibersegurança Arxan Technologies, disse à Wired que “há questões pendentes sobre a segurança das APIs da Marriott e porquê os hotéis podem acessá-las.”
A Marriott disse que enviou um e-mail para os usuários envolvidos na violação a partir do endereço marriott@email-marriott.com, e pedirá para os clientes habilitarem a autenticação de dois fatores nas contas do programa de fidelidade e, ou por outra, estenderá um ano dos serviços de monitoramento para os afetados.
De negócio com o WSJ, o escritório do Comissário de Informação do Reino Unificado – que aplicou a multa de US$ 124 milhões no último vazamento – disse que estava em contato com a empresa.