2 december, 2018

Hotellkedja hackad – upp till 500 miljoner uppgifter kan ha stulits

Under 4 års tid har hotellkedjan Marriotts bokningssystem med information om upp till 500 miljoner gäster varit hackat. Utöver uppgifter som personnummer, passnummer och telefonnummer utesluter företaget inte att betalkortsinformation också kan ha läckt.

Hotellkoncernen Marriott International som äger 6500 hotell världen över har varit utsatta för ett pågående dataintrång sedan 2014. Den 8:e september i år larmade företagets interna säkerhetssystem om otillåten aktivitet i nätverket för hotellens gemensamma bokningssystem.

En undersökning inleddes kort därefter och den kom fram till att en okänd aktör hade kopierat och krypterat information. I ett pressmeddelande skriver Marriott följande:

“Marriott learned during the investigation that there had been unauthorized access to the Starwood network since 2014. The company recently discovered that an unauthorized party had copied and encrypted information, and took steps towards removing it.”

Den 19:e november lyckades Marriott dekryptera information och kunde på så vis bekräfta att det som har stulits var uppgifter kopplade till företagets kunddatabas. Enligt företaget kan upp till 500 miljoner gäster ha påverkats av intrånget.

Utöver personuppgifter som namn, passnummer och mailadresser kan Marriott inte utesluta att även betalkortsinformation har stulits. Kortnummer och utgångsdatum för betalkorten var krypterade, men för att avkryptera dessa krävs två krypteringsnycklar och hotellkedjan har inte kunnat utesluta att båda dessa har stulits.

Även svenskar påverkas av intrånget

Marriott International är en global hotellkedja och många svenskar har bott på hotell som kedjan äger vid besök i utlandet. Koncernen äger även en rad välbesökta hotell i Sverige, däribland; Sheraton Stockholm, Nobis Hotel, Hotell Skeppsholmen, och Hotel J i Nacka strand. Det innebär således att en stor mängd svenskar påverkas av det enorma dataintrånget.

Juridiska och finansiella konsekvenser

I pressmeddelandet skriver företaget att de agerat direkt genom att både tillkalla hjälp från säkerhetsexperter och anmäla incidenten till berörda myndigheter. Uppgifterna verkar dock inte överensstämma med åklagarmyndigheten i New York, som menar att Marriott inte har meddelat upptäckten av intrånget som de enligt lokal lagstiftning är skyldiga att göra, skriver Reuters.

Marriott kan precis som andra amerikanska företag som har drabbats av massiva dataintrång förvänta sig stämningar och andra typer av juridiska konsekvenser.

Likt många andra företag som har utsatts för omfattande dataintrång har Marriotts börsvärde påverkats negativt. På den amerikanska börsen föll företagets aktie 6 % i samband med att intrånget uppdagades.