Marriott, ABD Eyaletlerinin İhlal Davasını Çözmek İçin 52 Milyon Dolar Ödedi


Olay ve İhlallere Müdahale, Mevzuat ve Dava, Güvenlik Operasyonları

Dünyanın En Büyük Otel Zinciri Federal Ticaret Komisyonuyla da Anlaştı

David Perera (@daveperera) •
9 Ekim 2024

Marriott, ABD Eyaletlerinin İhlal Davasını Çözmek İçin 52 Milyon Dolar Ödedi
Resim: Shutterstock

Dünyanın en büyük otel zinciri Çarşamba günü 52 milyon dolar ödemeyi ve milyonlarca konuğu etkileyen bir dizi veri ihlalinin çözümlenmesi için siber güvenlik programının yirmi yıllık üçüncü taraf izlemesine boyun eğmeyi kabul etti.

Ayrıca bakınız: Bulutta Uyumluluk ve Güvenlik Sorunlarının Ele Alınması Konulu OnDemand I Panel Tartışması

Milyon dolarlık ödeme, 49 eyalet artı Columbia Bölgesi’nden oluşan 50 ABD başsavcısı ile varılan anlaşmanın bir parçası. Federal Ticaret Komisyonu ile bir onay emri, dışarıdan bir değerlendirici tarafından yirmi yıllık siber güvenlik programı değerlendirmelerinin yapılmasını gerektirir. Anlaşmaların tümü, ister eyalet yargıçlarından ister FTC komisyon üyelerinin başka bir tur oylamasından olsun, genellikle formalite anlamına gelen adımlarla nihai onay gerektiriyor.

Eyalet başsavcıları koalisyonuna liderlik eden Connecticut Başsavcısı William Tong, “Şirketlerin tüketici verilerinin güvenliğini korumak için makul önlemler alma yükümlülüğü var. Marriott bunu açıkça başaramadı” dedi.

Maryland merkezli Marriott, 2018’den bu yana neredeyse sürekli olarak veri ihlali davalarına saplanmış durumda ve Eylül 2016’da Starwood lüks franchise’ını satın aldıktan sonra edindiği rezervasyon sistemindeki bilgisayar korsanlarını ortaya çıkardı. Daha ileri araştırmalar, Çin siber casusluk operasyonunun bir parçası olduğu bildirilen bilgisayar korsanlarının ilk kez ortaya çıktığını gösterdi. Temmuz 2014’te sisteme erişim sağlandı. Etkinin son hesaplaması, 133,7 milyon otel misafirinin ihlale yakalandığını ve 5,25 milyon kişinin şifrelenmemiş pasaport numaralarının da açığa çıktığını hesapladı. FTC, idari şikayetinde, bilgisayar korsanlarının kurumsal ağ, veri merkezi, müşteri iletişim merkezi ve otel konumları da dahil olmak üzere “Starwood ortamındaki 58 konumdaki 480’den fazla sisteme” keylogger’lar, hafıza kazıyan kötü amaçlı yazılımlar ve uzaktan erişim Truva atları yüklediğini söyledi.

Marriott, Mart 2020’de başka bir veri ihlalini açıklayarak, bilgisayar korsanlarının 5,2 milyon konuğu etkileyen bir olayla ağına sızdığını açıkladı. Çalınan veriler arasında isimler, e-postalar, telefon numaraları ve doğum günleri gibi kişisel olarak tanımlayıcı bilgiler yer alıyordu.

FTC rıza sözleşmesi aynı zamanda Starwood tarafından Kasım 2015’te tespit edilen bir ihlali de kapsıyor. 14 aylık bir süre boyunca bilgisayar korsanları korumasız idari hesapları ele geçirdi ve 100’den fazla otelin sistemlerine kötü amaçlı yazılım yükleyerek ödeme kartı verilerinin tamamını ele geçirdi.

Marriott yaptığı açıklamada, yerleşimlerde hiçbir sorumluluk kabul etmediğini söyledi. Şirket, “Konukların kişisel verilerinin korunması Marriott için en önemli öncelik olmaya devam ediyor” dedi.

Eyalet başsavcılarıyla yaptığı anlaşmanın bir parçası olarak Marriott’un “makul ölçüde mümkün olduğu durumlarda” sıfır güven ilkelerini benimsemesi gerekiyor. Ayrıca, bulut bilişim sağlayıcıları da dahil olmak üzere “kritik BT satıcıları” için sözleşmeye bağlı olarak gelişmiş siber güvenlik kontrollerinin zorunlu kılınması gerekiyor.

FTC anlaşması, şirketin verileri yalnızca amacını gerçekleştirmek için gerekli olduğu sürece saklayarak veri toplamasını sınırlamasını gerektiriyor. Otel zinciri ayrıca tüketicilere kişisel bilgilerini kurumsal veritabanlarından silmenin kolay bir yolunu sunmalıdır.

İki anlaşma, Marriott’un, tüketicilerin önceki 12 ay içinde meydana gelmiş olabilecek herhangi bir şüpheli faaliyete karşı sadakat ödülleri hesaplarının incelenmesini talep edebilecekleri bir portal oluşturmasını gerektiriyor.

2018’deki ihlalden kaynaklanan toplu dava federal mahkemede devam ediyor. ABD’nin Maryland Bölgesi yargıcı, davaya toplu dava statüsünü 2022’de verdi, ancak Ağustos 2023’te bir temyiz mahkemesi bu kararı iptal etti ve otel misafirleri tarafından imzalanan toplu dava feragatnamesinin etkilerini daha ayrıntılı olarak değerlendirmek üzere davayı bölgeye geri gönderdi.

Marriott, 2018’deki ihlal nedeniyle AB’nin Genel Veri Koruma Yönetmeliği uyarınca İngiliz veri koruma yetkililerine 2020’de 24 milyon dolar para cezası ödedi (bkz.: Marriott, İhlalden Dolayı 24 Milyon Dolarlık GDPR Gizlilik Cezasına Uğradı).





Source link