Una violació massiva de bases de dades va ser informat per Marriott Hotels and Resorts a la seva marca Starwood el 30 de novembre. Mentrestant, els procediments de seguretat de Marriott havien estat en el punt de mira mundial, donant lloc a diverses accions legals i penals adoptades per autoritats de tot el món contra la cadena hotelera més gran del món. S'ha desenvolupat un malson de relacions públiques per a Marriott, que ha fet que la marca quedés sense paraules per evitar respostes als mitjans de comunicació.
Avui Marriott ha informat totes les possibles víctimes i hostes de l'hotel d'aquest delicte del que anomenen un "incident de seguretat". El correu electrònic explica a possibles víctimes del delicte, als clients de Marriott amb antecedents a la xarxa Starwood Hotels and Resort:
El 8 de setembre de 2018, Marriott va rebre una alerta d'una eina de seguretat interna sobre un intent d'accedir a la base de dades de reserves de convidats de Starwood. Marriott va contractar ràpidament els principals experts en seguretat per ajudar a determinar què va passar. Marriott es va assabentar durant la investigació que hi havia hagut accés no autoritzat a la xarxa Starwood des del 2014. Marriott va descobrir recentment que una part no autoritzada havia copiat i xifrat informació i va prendre mesures per eliminar-la. El 19 de novembre de 2018, Marriott va poder desxifrar la informació i va determinar que el contingut provenia de la base de dades de reserves de convidats de Starwood.
Marriott no ha acabat d'identificar informació duplicada a la base de dades, però creu que conté informació sobre fins a aproximadament 500 milions de convidats que van fer una reserva a una propietat de Starwood. Per a aproximadament 327 milions d’aquests convidats, la informació inclou alguna combinació de nom, adreça postal, número de telèfon, adreça de correu electrònic, número de passaport, informació del compte Starwood Preferred Guest (“SPG”), data de naixement, sexe, informació d’arribada i sortida, data de reserva i preferències de comunicació. Per a alguns, la informació també inclou números de targeta de pagament i dates de caducitat de la targeta de pagament, però els números de la targeta de pagament es van xifrar mitjançant el xifratge estàndard de xifratge avançat (AES-128). Hi ha dos components necessaris per desxifrar els números de la targeta de pagament i, en aquest moment, Marriott no ha pogut descartar la possibilitat que es prenguin tots dos. Per a la resta de convidats, la informació es limitava al nom i, de vegades, a altres dades, com ara adreça de correu, adreça de correu electrònic o altra informació.
Marriott va denunciar aquest incident a les forces de l'ordre i continua donant suport a la seva investigació. La companyia també notifica a les autoritats reguladores.
Marriott lamenta profundament aquest incident ocorregut. Des del principi, ens vam desplaçar ràpidament per contenir l’incident i vam dur a terme una investigació exhaustiva amb l’assistència dels principals experts en seguretat. Marriott treballa dur per garantir que els nostres clients tinguin respostes a preguntes sobre la seva informació personal amb un lloc web i un centre de trucades dedicats. Donem suport als esforços de les forces de l’ordre i treballem amb els principals experts en seguretat per millorar. Marriott també destina els recursos necessaris per eliminar gradualment els sistemes Starwood i accelerar les millores de seguretat en curs a la nostra xarxa.
Marriott ha pres els passos següents per ajudar-vos a controlar i protegir la vostra informació:
Centre de trucades dedicat
Marriott ha establert un centre de trucades dedicat per respondre a les preguntes que pugueu tenir sobre aquest incident. El centre de trucades està disponible en diversos idiomes. El nostre centre de trucades dedicat pot experimentar un volum elevat inicialment i agraïm la vostra paciència. Consulteu info.starwoodhotels.com per obtenir actualitzacions de les dades de contacte del nostre centre de trucades. Les dades de contacte del centre de trucades són:
País | Telèfon | temps i dies | ||
Austràlia | 1-800-270-917 | hores 24 | Dilluns - Diumenge | |
Àustria | 0800-281462 | 0900 - 2100 CET | Dilluns - Diumenge | |
Bèlgica | 0800-708-43 | 0900 - 2100 CET | Dilluns - Diumenge | |
Brasil | 0-800-724-8312 | 0900 - 2100 Brasilia ST | Dilluns - Diumenge | |
Canadà | 877-273-9481 | 0900-2100 EST | Dilluns - Diumenge | |
Xina | 4001839188 | 0900 - 1800 Xina ST | Dilluns - Diumenge | |
Xina | + 86 20 38157000 | 0900 - 1800 Xina ST | Dilluns - Diumenge | |
França | 0805-080216 | 0900 - 2100 CET | Dilluns - Diumenge | |
Germany | 0800-180-1978 | 0900 - 2100 CET | Dilluns - Diumenge | |
Índia | 000-800-050-1531 | hores 24 | Dilluns - Diumenge | |
Itàlia | 800-728-023 | 0900 - 2100 CET | Dilluns - Diumenge | |
Japó | 0120901011 | 0900 - 1800 Japó ST | Dilluns - divendres | |
Japó | +81 3 5423 6539 | 0900 - 1800 Japó ST | Dilluns - divendres | |
Nova Zelanda | 0800-359805 | hores 24 | Dilluns - Diumenge | |
Mèxic | 01-800-099-0742 | 0900 - 2100 EST | Dilluns - Diumenge | |
Rússia | 8-800-100-6925 | 0900 - 2100 Moscou | Dilluns - Diumenge | |
Singapur | 800-492-2405 | hores 24 | Dilluns - Diumenge | |
Corea del Sud | 007988171758 | 0900 - 1800 Corea ST | Dilluns - divendres | |
Corea del Sud | +81 3 4334 2202 | 0900 - 1800 Corea ST | Dilluns - divendres | |
Espanya | 900-905407 | 0900 - 2100 CET | Dilluns - Diumenge | |
Suïssa | 0800-561-876 | 0900 - 2100 CET | Dilluns - Diumenge | |
Emirats Àrabs Units | 8000-3201-34 | 0900 - 2100 Golf | Dilluns - Diumenge | |
UK | 0-808-189-1065 | 0800 - 2000 GMT | Dilluns - Diumenge | |
USA | 877-273-9481 | 0900 - 2100 EST | Dilluns - Diumenge |
Marriott va començar a enviar correus electrònics de forma continuada el 30 de novembre de 2018 als hostes afectats les adreces de correu electrònic dels quals es troben a la base de dades de reserves de convidats Starwood.
Marriott ofereix als hostes l'oportunitat de registrar-se gratuïtament a WebWatcher durant un any. WebWatcher controla els llocs d’Internet on es comparteix informació personal i genera una alerta al consumidor si es troba evidència de la informació personal del consumidor. Per motius normatius i altres, WebWatcher o productes similars no estan disponibles a tots els països. Als clients dels Estats Units que completin el procés d’inscripció a WebWatcher també se’ls proporcionarà gratuïtament serveis de consulta de frau i cobertura de reemborsament.
La secció següent proporciona informació addicional sobre els passos que podeu fer. Si teniu preguntes sobre aquesta notificació i per registrar-vos a WebWatcher (si està disponible al vostre país / regió), visiteu info.starwoodhotels.com.
Les marques Starwood inclouen: W Hotels, St. Regis, Sheraton Hotels & Resorts, Westin Hotels & Resorts, Element Hotels, Aloft Hotels, The Luxury Collection, Tribute Portfolio, Le Méridien Hotels & Resorts, Four Points by Sheraton i Design Hotels. També s’inclouen propietats de multipropietat de la marca Starwood (Sheraton Vacation Club, Westin Vacation Club, The Luxury Collection Residence Club, St. Regis Residence Club i Vistana).
Independentment d’on resideixis, a continuació es detallen alguns passos addicionals que podeu fer.
Canvieu la contrasenya regularment. No utilitzeu contrasenyes fàcilment endevinables. No utilitzeu les mateixes contrasenyes per a diversos comptes.
Reviseu els extractes del compte de la vostra targeta de pagament si hi ha activitat no autoritzada i informeu immediatament de l’activitat no autoritzada al banc que va emetre la vostra targeta.
Vigileu contra tercers que intentin recopilar informació per engany (normalment conegut com a "phishing"), inclosos els enllaços a llocs web falsos. Marriott no us demanarà que proporcioneu la vostra contrasenya per telèfon o correu electrònic.
Si creieu que sou víctima d'un robatori d'identitat o si les vostres dades personals s'han utilitzat malament, heu de contactar immediatament amb les forces de l'ordre locals.
Li recordem que sempre és aconsellable estar atent als incidents de frau o robatori d’identitat revisant els extractes del compte i els informes de crèdit gratuïts per a qualsevol activitat no autoritzada. Podeu obtenir una còpia del vostre informe de crèdit de forma gratuïta, una vegada cada 12 mesos, de cadascuna de les tres empreses de crèdit a nivell nacional. Per demanar el vostre informe anual de crèdit gratuït, visiteu www.annualcreditreport.com o truqueu gratuïtament al 1-877-322-8228. La informació de contacte de les tres empreses nacionals d'informes de crèdit és la següent:
Equifax, Caixa postal 740241, Atlanta, GA 30374, www.equifax.com, 1-800-685-1111 |
Experian, Caixa Postal 2002, Allen, TX 75013, www.experian.com, 1-888-397-3742 |
Transunion, Caixa postal 2000, Chester, PA 19016, www.transunion.com, 1-800-916-8800 |
Si creieu que sou víctima de robatoris d'identitat o teniu motius per creure que la vostra informació personal s'ha utilitzat malament, haureu de posar-vos en contacte immediatament amb la Comissió Federal de Comerç i / o la oficina del fiscal general del vostre estat. Podeu obtenir informació d’aquestes fonts sobre els passos que pot fer un individu per evitar robatoris d’identitat, així com informació sobre alertes de frau i bloqueigs de seguretat. També heu de posar-vos en contacte amb les autoritats policials locals i presentar un informe de la policia. Obteniu una còpia de l’informe policial en cas que se us demani que proporcioneu còpies als creditors per corregir els vostres registres. La informació de contacte de la Comissió Federal de Comerç és la següent:
Comissió Federal de Comerç, Consumer Response Center, 600 Pennsylvania Avenue, NW Washington, DC 20580, 1-877-IDTHEFT (438-4338), www.ftc.gov/idtheft
Si sou resident de Connecticut, Maryland, Massachusetts, Carolina del Nord o Rhode Island, podeu contactar i obtenir informació del vostre fiscal general de l’Estat a: |
|
Si sou resident a Massachusetts o Rhode IslandTingueu en compte que, de conformitat amb la legislació de Massachusetts o Rhode Island, teniu dret a presentar i obtenir una còpia d’un informe de la policia. També teniu dret a sol·licitar una congelació de seguretat. |
Si sou resident a West Virginia, teniu el dret de sol·licitar a les agències d'informació de consumidors de tot el país que col·loquin "alertes de frau" al fitxer perquè els creditors potencials i altres persones sàpiguen que podeu ser víctima d'un robatori d'identitat, tal com es descriu a continuació. També teniu dret a col·locar un bloqueig de seguretat al vostre informe de crèdit, tal com es descriu a continuació. |
Alertes de frau: Hi ha dos tipus d’alertes de frau que podeu posar al vostre informe de crèdit per notificar als vostres creditors que podeu ser víctima d’un frau: una alerta inicial i una alerta ampliada. Podeu demanar que es posi una alerta inicial de frau al vostre informe de crèdit si sospiteu que heu estat o esteu a punt de ser víctima d'un robatori d'identitat. Una alerta inicial de frau es manté al vostre informe de crèdit durant almenys 90 dies. És possible que tingueu una alerta ampliada a l'informe de crèdit si ja heu estat víctima d'un robatori d'identitat amb la prova documental adequada. Una alerta de frau estesa es manté al vostre informe de crèdit durant set anys. Podeu posar una alerta de frau al vostre informe de crèdit contactant amb qualsevol de les tres agències nacionals d'informes de crèdit. |
El crèdit es congela: Teniu el dret de posar gratuïtament una congelació de crèdit, també coneguda com a congelació de seguretat, al fitxer de crèdit, de manera que no es pugui obrir cap crèdit nou al vostre nom sense l'ús d'un número PIN que se us emeti. quan inicieu una congelació. Una congelació de seguretat està dissenyada per evitar que possibles concedents de crèdit accedeixin al vostre informe de crèdit sense el vostre consentiment. Si col·loqueu una congelació de seguretat, els creditors potencials i altres tercers no podran accedir al vostre informe de crèdit tret que suspengueu temporalment la congelació. Per tant, l’ús d’una congelació de seguretat pot endarrerir la vostra capacitat d’obtenir crèdit.
No hi ha cap taxa per col·locar o aixecar una congelació de seguretat. A diferència d'una alerta de frau, heu de col·locar per separat una congelació de seguretat al fitxer de crèdit a cada empresa d'informació de crèdit. Per obtenir informació i instruccions per bloquejar la seguretat, poseu-vos en contacte amb cadascuna de les agències d'informació de crèdit a les adreces següents: |
|
Per sol·licitar una congelació de la seguretat, haureu de proporcionar la informació següent: |
|
Les agències d'informes de crèdit tenen un dia hàbil després de rebre la vostra sol·licitud per telèfon gratuït o per mitjans electrònics segurs o tres dies laborables després de rebre la vostra sol·licitud per correu electrònic, per posar una congelació de seguretat al vostre informe de crèdit. Les oficines de crèdit també us han d’enviar confirmació per escrit en un termini de cinc dies hàbils i proporcionar-vos un número d’identificació personal (“PIN”) o una contrasenya exclusiva o tots dos que pugueu utilitzar per autoritzar l’eliminació o l’eliminació de la congelació de seguretat.
Per retirar la congelació de seguretat per permetre a una entitat específica o accés individual al vostre informe de crèdit o per retirar una congelació de seguretat durant un període de temps especificat, heu de presentar una sol·licitud mitjançant un número de telèfon gratuït, un mitjà electrònic segur mantinguda per una agència d’informació de crèdits o enviant una sol·licitud per escrit a les agències d’informació de crèdit per correu ordinari, certificat o d’un dia per l’altre i incloure la identificació adequada (nom, adreça i número de la Seguretat Social) i el número PIN o la contrasenya que se us proporcionen quan heu col·locat la congelació de seguretat, així com la identitat de les entitats o persones que voleu rebre el vostre informe de crèdit o el període específic de temps que voleu que tingui disponible l'informe de crèdit. Les agències d'informació de crèdit tenen un dia hàbil després de rebre la vostra sol·licitud per telèfon gratuït o per mitjans electrònics segurs o tres dies laborables després de rebre la vostra sol·licitud per correu electrònic, per retirar la congelació de les entitats identificades o durant el període de temps especificat. Per eliminar la congelació de seguretat, heu de presentar una sol·licitud mitjançant un número de telèfon gratuït, un mitjà electrònic segur mantingut per una agència d’informació de crèdits o enviant una sol·licitud per escrit per correu ordinari, certificat o d’un dia per l’altre a cadascun dels tres crèdits. oficines i inclouen la identificació adequada (nom, adreça i número de la Seguretat Social) i el número PIN o la contrasenya que se us proporcionen quan vau congelar la seguretat. Les oficines de crèdit tenen un dia hàbil després de rebre la vostra sol·licitud per telèfon gratuït o per mitjans electrònics segurs, o tres dies laborables després de rebre la vostra sol·licitud per correu electrònic, per eliminar el bloqueig de seguretat. |
Llei d’informació de crèdits justos: També teniu drets segons la llei federal d'informes de crèdit just, que promou la precisió, l'equitat i la privadesa de la informació dels fitxers de les agències d'informes de consumidors. La FTC ha publicat una llista dels drets principals creats per l’FCRA (https://www.consumer.ftc.gov/articles/pdf-0096-fair-credit-reporting-act.pdf), i aquest article fa referència a les persones que busquen més informació per visitar www.ftc.gov/credit. La llista de drets FCRA de la FTC inclou: |
|
Si sou un subjecte de dades de la Unió Europea, i voleu queixar-vos de la vostra autoritat de protecció de dades, podeu posar-vos en contacte amb ells a: |
|
Si sou resident canadenc, i voleu queixar-vos del comissari de privadesa, podeu posar-vos en contacte amb ells a: |
|
|