פריצת מסד נתונים מאסיבית דווח על ידי Marriott Hotels and Resorts במותג Starwood שלהם ב-30 בנובמבר. בינתיים, נהלי האבטחה של Marriott היו באור הזרקורים העולמי והביאו לפעולות משפטיות ופליליות שונות שננקטו על ידי רשויות ברחבי העולם נגד רשת המלונות הגדולה בעולם. סיוט יחסי ציבור נפרש על מריוט וכתוצאה מכך הפך את המותג ללא מילים בהימנעות מתגובות לתקשורת.
היום מריוט הודיעה לכל הקורבן הפוטנציאלי ואורחי המלון על הפשע הזה על מה שהם מכנים "אירוע ביטחוני". המייל מסביר לקורבנות פשע פוטנציאליים, לקוחות מריוט עם רקורד ברשת המלונות והנופש של Starwood:
ב-8 בספטמבר 2018, מריוט קיבלה התראה מכלי אבטחה פנימי בנוגע לניסיון לגשת למסד הנתונים של הזמנת אורחים של Starwood. Marriott העסיקה במהירות מומחי אבטחה מובילים כדי לעזור לקבוע מה קרה. למריוט נודע במהלך החקירה כי הייתה גישה לא מורשית לרשת סטארווד מאז 2014. מריוט גילתה לאחרונה שגורם לא מורשה העתיק והצפין מידע, ונקטה צעדים לקראת הסרתו. ב-19 בנובמבר 2018, מריוט הצליחה לפענח את המידע וקבעה שהתכולה היא ממסד הנתונים של הזמנת האורחים של Starwood.
מריוט לא סיימה לזהות מידע משוכפל במסד הנתונים, אך מאמינה שהוא מכיל מידע על עד כ-500 מיליון אורחים שביצעו הזמנה בנכס סטארווד. עבור כ-327 מיליון מהאורחים הללו, המידע כולל שילוב כלשהו של שם, כתובת דואר, מספר טלפון, כתובת דואר אלקטרוני, מספר דרכון, פרטי חשבון Starwood Preferred Guest ("SPG"), תאריך לידה, מין, מידע הגעה ועזיבה, תאריך הזמנה והעדפות תקשורת. עבור חלק, המידע כולל גם מספרי כרטיסי תשלום ותאריכי תפוגה של כרטיסי תשלום, אך מספרי כרטיסי התשלום הוצפנו באמצעות הצפנה Advanced Encryption Standard (AES-128). ישנם שני מרכיבים הדרושים כדי לפענח את מספרי כרטיסי התשלום, ובשלב זה, מריוט לא הצליחה לשלול את האפשרות ששניהם נלקחו. עבור האורחים הנותרים, המידע הוגבל לשם ולפעמים נתונים אחרים כגון כתובת דואר, כתובת דואר אלקטרוני או מידע אחר.
מריוט דיווחה על התקרית הזו לרשויות החוק וממשיכה לתמוך בחקירתן. החברה גם מודיעה לרשויות הרגולטוריות.
מריוט מתחרטת מאוד על האירוע הזה. מלכתחילה עברנו במהירות להכליל את האירוע ולערוך חקירה יסודית בסיוע מומחי אבטחה מובילים. Marriott עובדת קשה כדי להבטיח שלאורחים שלנו יהיו תשובות לשאלות לגבי המידע האישי שלהם עם אתר אינטרנט ומרכז טלפוני ייעודיים. אנו תומכים במאמצים של אכיפת החוק ועובדים עם מומחי אבטחה מובילים לשיפור. מריוט גם מקדישה את המשאבים הדרושים להפסקת מערכות Starwood ולהאיץ את שיפורי האבטחה המתמשכים ברשת שלנו.
Marriott נקטה בצעדים הבאים כדי לעזור לך לנטר ולהגן על המידע שלך:
מוקד טלפוני ייעודי
מריוט הקימה מרכז טלפוני ייעודי שיענה על שאלות שעשויות להיות לך בנוגע לאירוע זה. המוקד זמין במספר שפות. המרכז הטלפוני הייעודי שלנו עשוי לחוות נפח גבוה בתחילה, ואנו מעריכים את סבלנותך. אנא בדוק את info.starwoodhotels.com עבור כל עדכונים לפרטי יצירת הקשר של המרכז הטלפוני שלנו. הפרטים ליצירת קשר במוקד הטלפוני הם:
מדינה | טלפון | זמן וימים | ||
אוסטרליה | 1-800-270-917 | שעות 24 | שני - ראשון | |
אוסטריה | 0800-281462 | 0900 - 2100 CET | שני - ראשון | |
בלגיה | 0800-708-43 | 0900 - 2100 CET | שני - ראשון | |
ברזיל | 0-800-724-8312 | 0900 - 2100 ברזיליה ST | שני - ראשון | |
קנדה | 877-273-9481 | 0900-2100 EST | שני - ראשון | |
סין | 4001839188 | 0900 - 1800 China ST | שני - ראשון | |
סין | + 86 20 38157000 | 0900 - 1800 China ST | שני - ראשון | |
צרפת | 0805-080216 | 0900 - 2100 CET | שני - ראשון | |
גרמניה | 0800-180-1978 | 0900 - 2100 CET | שני - ראשון | |
הודו | 000-800-050-1531 | שעות 24 | שני - ראשון | |
איטליה | 800-728-023 | 0900 - 2100 CET | שני - ראשון | |
יפן | 0120901011 | 0900 - 1800 יפן ST | שני - שישי | |
יפן | 81-3-5423-6539+ | 0900 - 1800 יפן ST | שני - שישי | |
ניו זילנד | 0800-359805 | שעות 24 | שני - ראשון | |
MEXICO | 01-800-099-0742 | 0900 - 2100 EST | שני - ראשון | |
רוסיה | 8-800-100-6925 | 0900 – 2100 מוסקבה | שני - ראשון | |
סינגפור | 800-492-2405 | שעות 24 | שני - ראשון | |
דרום קוריאה | 007988171758 | 0900 - 1800 קוריאה ST | שני - שישי | |
דרום קוריאה | 81-3-4334-2202+ | 0900 - 1800 קוריאה ST | שני - שישי | |
ספרד | 900-905407 | 0900 - 2100 CET | שני - ראשון | |
שווייץ | 0800-561-876 | 0900 - 2100 CET | שני - ראשון | |
איחוד האמירויות הערביות | 8000-3201-34 | 0900 – 2100 מפרץ | שני - ראשון | |
UK | 0-808-189-1065 | 0800 - 2000 GMT | שני - ראשון | |
ארה"ב | 877-273-9481 | 0900 - 2100 EST | שני - ראשון |
מריוט החלה לשלוח מיילים על בסיס מתגלגל ב-30 בנובמבר 2018 לאורחים המושפעים שכתובות האימייל שלהם נמצאות במסד הנתונים של הזמנת האורחים של Starwood.
Marriott מספקת לאורחים את ההזדמנות להירשם ל-WebWatcher ללא תשלום למשך שנה אחת. WebWatcher עוקב אחר אתרי אינטרנט שבהם משותף מידע אישי ומייצר התראה לצרכן אם נמצאו ראיות למידע האישי של הצרכן. מסיבות רגולטוריות ואחרות, WebWatcher או מוצרים דומים אינם זמינים בכל המדינות. אורחים מארצות הברית אשר ישלימו את תהליך ההרשמה ל-WebWatcher יקבלו גם שירותי ייעוץ בהונאות וכיסוי החזרים בחינם.
הסעיף שלהלן מספק מידע נוסף על הצעדים שתוכל לנקוט. אם יש לך שאלות לגבי הודעה זו וכדי להירשם ל-WebWatcher (אם הוא זמין במדינה/אזור שלך), בקר בכתובת info.starwoodhotels.com.
מותגי Starwood כוללים: W Hotels, St. Regis, Sheraton Hotels & Resorts, Westin Hotels & Resorts, Element Hotels, Aloft Hotels, The Luxury Collection, Tribute Portfolio, Le Méridien Hotels & Resorts, Four Points by Sheraton ו-Design Hotels. נכסי Timeshare ממותגים של Starwood (Sheraton Vacation Club, Westin Vacation Club, The Luxury Collection Residence Club, St. Regis Residence Club, ו-Vistana) כלולים גם כן.
לא משנה היכן אתה מתגורר, להלן כמה צעדים נוספים שתוכל לנקוט.
שנה את הסיסמה שלך באופן קבוע. אל תשתמש בסיסמאות שניחושות בקלות. אל תשתמש באותן סיסמאות עבור מספר חשבונות.
עיין בדפי חשבון כרטיס התשלום שלך עבור פעילות לא מורשית ודווח מיד על פעילות לא מורשית לבנק שהנפיק את הכרטיס שלך.
היו ערניים מפני צדדים שלישיים המנסים לאסוף מידע בהונאה (המכונה בדרך כלל "דיוג"), לרבות באמצעות קישורים לאתרי אינטרנט מזויפים. Marriott לא תבקש ממך לספק את הסיסמה שלך בטלפון או בדוא"ל.
אם אתה מאמין שאתה קורבן לגניבת זהות או שנעשה שימוש לרעה בנתונים האישיים שלך, עליך לפנות מיד לרשויות אכיפת החוק המקומיות.
אנו מזכירים לך שתמיד מומלץ להיות ערניים למקרים של הונאה או גניבת זהות על ידי עיון בדפי החשבון שלך ובדוחות האשראי בחינם עבור כל פעילות לא מורשית. תוכל לקבל עותק של דוח האשראי שלך, ללא תשלום, אחת ל-12 חודשים מכל אחת משלוש חברות דיווח האשראי בפריסה ארצית. להזמנת דוח האשראי השנתי בחינם, בקר www.annualcreditreport.com או התקשר בשיחת חינם בטלפון 1-877-322-8228. פרטי הקשר של שלוש חברות דיווח האשראי בפריסה ארצית הם כדלקמן:
Equifax, PO Box 740241, Atlanta, GA 30374, www.equifax.com, 1-800-685-1111 |
Experian, PO Box 2002, Allen, TX 75013, www.experian.com, 1-888-397-3742 |
TransUnion, PO Box 2000, Chester, PA 19016, www.transunion.com, 1-800-916-8800 |
אם אתה מאמין שאתה קורבן לגניבת זהות או שיש לך סיבה להאמין שנעשה שימוש לרעה במידע האישי שלך, עליך לפנות מיד לוועדת הסחר הפדרלית ו/או למשרד התובע הכללי במדינתך. אתה יכול לקבל מידע ממקורות אלה על צעדים שאדם יכול לנקוט כדי למנוע גניבת זהות, כמו גם מידע על התראות על הונאה והקפאות אבטחה. עליך גם לפנות לרשויות אכיפת החוק המקומיות ולהגיש דו"ח משטרה. השג עותק של דו"ח המשטרה במקרה שתתבקש לספק עותקים לנושים כדי לתקן את הרישומים שלך. פרטי הקשר של ועדת הסחר הפדרלית הם כדלקמן:
ועדת סחר הפדרלית, Consumer Response Center, 600 Pennsylvania Avenue, NW Washington, DC 20580, 1-877-IDTHEFT (438-4338), www.ftc.gov/idtheft
אם אתה תושב קונטיקט, מרילנד, מסצ'וסטס, צפון קרוליינה או רוד איילנד, תוכל ליצור קשר ולקבל מידע מהתובע הכללי של המדינה שלך בכתובת: |
|
אם אתה תושב מסצ'וסטס או רוד איילנד, שים לב כי בהתאם לחוק מסצ'וסטס או רוד איילנד, יש לך את הזכות להגיש ולקבל עותק של דו"ח משטרה. יש לך גם את הזכות לבקש הקפאת אבטחה. |
אם אתה תושב מערב וירג'יניה, יש לך הזכות לבקש שסוכנויות דיווח צרכנים בפריסה ארצית יציגו "התראות הונאה" בתיק שלך כדי ליידע את הנושים הפוטנציאליים ואחרים שאתה עלול להיות קורבן לגניבת זהות, כמתואר להלן. יש לך גם זכות להקפיא את דוח האשראי שלך להקפאת אבטחה, כמתואר להלן. |
התראות הונאה: ישנם שני סוגים של התראות על הונאה שאתה יכול להציב בדוח האשראי שלך כדי להודיע לנושים שלך שאתה עלול להיות קורבן להונאה - התראה ראשונית והתראה מורחבת. אתה יכול לבקש שתוצב התראה ראשונית על הונאה בדוח האשראי שלך אם אתה חושד שהיית, או עומד להיות, קורבן לגניבת זהות. התראת הונאה ראשונית נשארת בדוח האשראי שלך למשך 90 יום לפחות. ייתכן שתהיה לך התראה מורחבת על דוח האשראי שלך אם כבר היית קורבן לגניבת זהות עם ההוכחה התיעודית המתאימה. התראת הונאה מורחבת נשארת בדוח האשראי שלך למשך שבע שנים. אתה יכול להציב התראת הונאה בדוח האשראי שלך על ידי יצירת קשר עם כל אחת משלוש סוכנויות דיווח האשראי הלאומיות. |
הקפאת אשראי: זכותך להכניס לקובץ האשראי שלך הקפאת אשראי, המכונה גם הקפאת אבטחה, ללא תשלום, כך שלא ניתן יהיה לפתוח אשראי חדש על שמך ללא שימוש במספר PIN שמונפק לך כאשר אתה מתחיל הקפאה. הקפאת אבטחה נועדה למנוע ממענקי אשראי פוטנציאליים לגשת לדוח האשראי שלך ללא הסכמתך. אם תבצע הקפאת ביטחון, נושים פוטנציאליים וצדדים שלישיים אחרים לא יוכלו לקבל גישה לדוח האשראי שלך אלא אם תבטל זמנית את ההקפאה. לכן, שימוש בהקפאת אבטחה עלול לעכב את יכולתך לקבל אשראי.
אין תשלום על ביצוע או הסרה של הקפאת אבטחה. בניגוד להתראת הונאה, עליך להקפיא בנפרד את קובץ האשראי שלך בכל חברת דיווח אשראי. למידע והנחיות להקפאת אבטחה, צור קשר עם כל אחת מסוכנויות דיווח האשראי בכתובות שלהלן: |
|
כדי לבקש הקפאת אבטחה, תצטרך לספק את המידע הבא: |
|
לסוכנויות דיווח האשראי יש יום עסקים אחד לאחר קבלת בקשתך בטלפון חינם או באמצעים אלקטרוניים מאובטחים, או שלושה ימי עסקים לאחר קבלת בקשתך בדואר, לבצע הקפאת אבטחה בדוח האשראי שלך. כמו כן, על לשכות האשראי לשלוח אליך אישור בכתב תוך חמישה ימי עסקים ולספק לך מספר זיהוי אישי (“PIN”) ייחודי או סיסמה או שניהם שיכולים לשמש אותך כדי לאשר הסרה או הסרה של הקפאת האבטחה.
כדי לבטל את הקפאת האבטחה על מנת לאפשר לגורם ספציפי או לפרט גישה לדוח האשראי שלך, או לבטל הקפאת אבטחה לפרק זמן מוגדר, עליך להגיש בקשה באמצעות מספר טלפון חינמי, אמצעי אלקטרוני מאובטח מתוחזק על ידי סוכנות לדיווח אשראי, או על ידי שליחת בקשה בכתב בדואר רגיל, מאושר או לילה לסוכנויות דיווח האשראי וכוללות זיהוי תקין (שם, כתובת ומספר תעודת זהות) ומספר ה-PIN או הסיסמה שסופקו לך כאשר ביצעת את הקפאת האבטחה וכן את הזהות של אותם ישויות או אנשים שברצונך לקבל את דוח האשראי שלך או את פרק הזמן הספציפי שבו אתה רוצה את דוח האשראי זמין. לסוכנויות דיווח האשראי יש יום עסקים אחד לאחר קבלת בקשתך בטלפון חינם או באמצעים אלקטרוניים מאובטחים, או שלושה ימי עסקים לאחר קבלת בקשתך בדואר, להסיר את הקפאת האבטחה עבור אותם ישויות שזוהו או לפרק הזמן שצוין. כדי להסיר את הקפאת האבטחה, עליך להגיש בקשה באמצעות מספר טלפון חינמי, אמצעי אלקטרוני מאובטח המתוחזק על ידי סוכנות לדיווח אשראי, או באמצעות שליחת בקשה בכתב בדואר רגיל, מאושר או לילה לכל אחד משלושת האשראי. לשכות ולכלול זיהוי תקין (שם, כתובת ומספר תעודת זהות) ומספר ה-PIN או הסיסמה שסופקו לך בעת הקפאת האבטחה. ללשכות האשראי יש יום עסקים אחד לאחר קבלת בקשתך בטלפון חינם או באמצעים אלקטרוניים מאובטחים, או שלושה ימי עסקים לאחר קבלת בקשתך בדואר, להסיר את הקפאת האבטחה. |
חוק דיווח אשראי הוגן: יש לך גם זכויות לפי החוק הפדרלי לדיווח אשראי הוגן, המקדם את הדיוק, ההגינות והפרטיות של המידע בקבצים של סוכנויות דיווח צרכניות. ה-FTC פרסם רשימה של הזכויות העיקריות שנוצרו על ידי FCRA (https://www.consumer.ftc.gov/articles/pdf-0096-fair-credit-reporting-act.pdf), והמאמר הזה מפנה לאנשים המחפשים מידע נוסף לבקר בכתובת www.ftc.gov/credit. רשימת זכויות FCRA של ה-FTC כוללת: |
|
אם אתה נושא מידע של האיחוד האירופי, וברצונך להתלונן בפני הרשות להגנת המידע שלך, תוכל לפנות אליה בכתובת: |
|
אם אתה תושב קנדי, ואתה רוצה להתלונן בפני הממונה על הפרטיות שלך, תוכל לפנות אליהם בכתובת: |
|
|