Marriott, ABD Eyaletlerinin İhlal Davasını Çözmek İçin 52 Milyon Dolar Ödedi

Milyon dolarlık ödeme, 49 eyalet artı Columbia Bölgesi’nden oluşan 50 ABD başsavcısı ile varılan anlaşmanın bir parçası. Federal Ticaret Komisyonu ile bir onay emri, dışarıdan bir değerlendirici tarafından yirmi yıllık siber güvenlik programı değerlendirmelerinin yapılmasını gerektirir. Anlaşmaların tümü, ister eyalet yargıçlarından ister FTC komisyon üyelerinin başka bir tur oylamasından olsun, genellikle formalite anlamına gelen adımlarla nihai onay gerektiriyor.

Eyalet başsavcıları koalisyonuna liderlik eden Connecticut Başsavcısı William Tong, “Şirketlerin tüketici verilerinin güvenliğini korumak için makul önlemler alma yükümlülüğü var. Marriott bunu açıkça başaramadı” dedi.

Maryland merkezli Marriott, 2018’den bu yana neredeyse sürekli olarak veri ihlali davalarına saplanmış durumda ve Eylül 2016’da Starwood lüks franchise’ını satın aldıktan sonra edindiği rezervasyon sistemindeki bilgisayar korsanlarını ortaya çıkardı. Daha ileri araştırmalar, Çin siber casusluk operasyonunun bir parçası olduğu bildirilen bilgisayar korsanlarının ilk kez ortaya çıktığını gösterdi. Temmuz 2014’te sisteme erişim sağlandı. Etkinin son hesaplaması, 133,7 milyon otel misafirinin ihlale yakalandığını ve 5,25 milyon kişinin şifrelenmemiş pasaport numaralarının da açığa çıktığını hesapladı. FTC, idari şikayetinde, bilgisayar korsanlarının kurumsal ağ, veri merkezi, müşteri iletişim merkezi ve otel konumları da dahil olmak üzere “Starwood ortamındaki 58 konumdaki 480’den fazla sisteme” keylogger’lar, hafıza kazıyan kötü amaçlı yazılımlar ve uzaktan erişim Truva atları yüklediğini söyledi.

Marriott, Mart 2020’de başka bir veri ihlalini açıklayarak, bilgisayar korsanlarının 5,2 milyon konuğu etkileyen bir olayla ağına sızdığını açıkladı. Çalınan veriler arasında isimler, e-postalar, telefon numaraları ve doğum günleri gibi kişisel olarak tanımlayıcı bilgiler yer alıyordu.

FTC rıza sözleşmesi aynı zamanda Starwood tarafından Kasım 2015’te tespit edilen bir ihlali de kapsıyor. 14 aylık bir süre boyunca bilgisayar korsanları korumasız idari hesapları ele geçirdi ve 100’den fazla otelin sistemlerine kötü amaçlı yazılım yükleyerek ödeme kartı verilerinin tamamını ele geçirdi.

Marriott yaptığı açıklamada, yerleşimlerde hiçbir sorumluluk kabul etmediğini söyledi. Şirket, “Konukların kişisel verilerinin korunması Marriott için en önemli öncelik olmaya devam ediyor” dedi.

Eyalet başsavcılarıyla yaptığı anlaşmanın bir parçası olarak Marriott’un “makul ölçüde mümkün olduğu durumlarda” sıfır güven ilkelerini benimsemesi gerekiyor. Ayrıca, bulut bilişim sağlayıcıları da dahil olmak üzere “kritik BT satıcıları” için sözleşmeye bağlı olarak gelişmiş siber güvenlik kontrollerinin zorunlu kılınması gerekiyor.

FTC anlaşması, şirketin verileri yalnızca amacını gerçekleştirmek için gerekli olduğu sürece saklayarak veri toplamasını sınırlamasını gerektiriyor. Otel zinciri ayrıca tüketicilere kişisel bilgilerini kurumsal veritabanlarından silmenin kolay bir yolunu sunmalıdır.

İki anlaşma, Marriott’un, tüketicilerin önceki 12 ay içinde meydana gelmiş olabilecek herhangi bir şüpheli faaliyete karşı sadakat ödülleri hesaplarının incelenmesini talep edebilecekleri bir portal oluşturmasını gerektiriyor.

2018’deki ihlalden kaynaklanan toplu dava federal mahkemede devam ediyor. ABD’nin Maryland Bölgesi yargıcı, davaya toplu dava statüsünü 2022’de verdi, ancak Ağustos 2023’te bir temyiz mahkemesi bu kararı iptal etti ve otel misafirleri tarafından imzalanan toplu dava feragatnamesinin etkilerini daha ayrıntılı olarak değerlendirmek üzere davayı bölgeye geri gönderdi.

Marriott, 2018’deki ihlal nedeniyle AB’nin Genel Veri Koruma Yönetmeliği uyarınca İngiliz veri koruma yetkililerine 2020’de 24 milyon dolar para cezası ödedi (bkz.: Marriott, İhlalden Dolayı 24 Milyon Dolarlık GDPR Gizlilik Cezasına Uğradı).