Una gigantesca fuga di dati è stata registrata dal database delle prenotazioni delle catene di hotel sotto il marchio Starwood. Il gruppo Marriott non ha potuto far altro che certificare quanto accaduto, raccontando i dettagli relativi alla scoperta, ma senza poter nascondere come il problema perdurasse almeno da 5 anni. Coinvolto ogni singola catena di hotel parte del gruppo, poiché accomunate tutte dal medesimo sistema di prenotazioni: W Hotels, St. Regis, Sheraton Hotels & Resorts, Westin Hotels & Resorts, Element Hotels, Aloft Hotels, The Luxury Collection, Tribute Portfolio, Le Méridien Hotels & Resorts, Four Points by Sheraton e Design Hotels.
La scoperta è avvenuta a seguito della notifica di un tool interno che, in data 8 settembre 2018, ha segnalato la possibile intrusione esterna non autorizzata. Immediatamente il gruppo ha fatto partire una approfondita indagine dalla quale è emerso come fin dal 2014 sarebbero avvenute intrusioni non autorizzate nel database. Le indagini hanno inoltre consentito di confermare come parti esterne siano entrate in possesso di dati provenienti dal database delle prenotazioni. Difficile al momento capire come e se i dati trafugati possano essere stati utilizzati, poiché il tutto sarebbe stato sottratto in forma crittografata e pertanto teoricamente sicura.
Secondo quanto verificato, il database clonato avrebbe in dote i dati di 500 milioni di utenti (cifra ancora approssimativa, frutto di una stima in attesa di terminare l’analisi sulle evidenze raccolte), 327 milioni dei quali registrati con nome, cognome, email, numero di telefono, passaporto e altro ancora. Per alcune utenze, tra i dati vi sono anche gli estremi per pagamento con carta di credito: in questo caso la crittografia prevista è di tipo AES-128, ma nella comunicazione ufficiale il gruppo non se la sente di escludere con certezza che ogni singolo dato non possa essere entrato in possesso dei malintenzionati.
Il commento arriva direttamente dal Presidente e CEO, Arne Sorenson, spiegando come il gruppo si senta in difetto rispetto agli standard qualitativi che intende offrire ai propri clienti e promettendo di fare tutto il possibile per risolvere il problema senza impatti negativi per l’utenza. Chiaramente i sistemi di sicurezza saranno ora migliorati e blindati, ma tutto ciò quando la fuga di dati è ormai avvenuta. E si tratta di una fuga di dati non certo di poco conto.
Un apposito sito Web è stato messo a punto per offrire tutti i dettagli disponibili e per raccogliere tutte le richieste di assistenza in arrivo. Nelle prossime ore sarà inoltre inviato un avviso via mail a tutti gli utenti registrati, affinché tutti possano essere a conoscenza di quanto accaduto. Per ogni utente sarà inoltre disponibile un account WebWatcher con il quale monitorare per un anno eventuali divulgazioni dei propri dati con eventuali relative frodi correlate. Le autorità sono state immediatamente avvisate dopo la scoperta affinché si possa procedere con le relative indagini e per alleggerire – per quanto ormai possibile, il carico di responsabilità in capo al gruppo Marriott.