Federal Ticaret Komisyonu, Marriott International ve iştiraki Starwood Hotels’in dijital güvenliklerini iyileştirmelerini gerektiren bir emri kesinleştirdiğini duyurdu. FTC, şirketleri 2015, 2018 ve 2020’de tespit edilen ve “dünya çapında 344 milyondan fazla müşteriyi etkileyen”, pasaport bilgilerini, ödeme kartlarını ve diğer bilgileri sızdıran üç büyük ihlale yol açan gevşek güvenlik uygulamalarıyla suçladı.
Oteller veri güvenliği yatırımlarına odaklanmalı
En kısa ihlal tespit edilmeden önce 14 ay sürdü, en uzun ihlalde ise saldırganlar 2018’den başlayarak dört yıl boyunca erişimi sürdürdü. Kurmayı kabul ettikleri güçlendirilmiş güvenlik programları arasında, bilgileri yalnızca ihtiyaç duyulduğu sürece saklamak için politikalar oluşturmak ve ABD’li müşterilerin e-posta adreslerine veya sadakat hesaplarına bağlı bilgilerin silinmesini talep etmelerine olanak tanıyan bir bağlantı yayınlamak yer alıyor.
Oteller, bilgisayar korsanlarının en önemli hedeflerinden biri oldu. Geçtiğimiz yıl gerçekleşen bir saldırıda, MGM Resorts’un kalem ve kağıt kullanmaya zorlanması sonucu otele giriş yapmak için bekleyen çok sayıda kişi arasında FTC Başkanı Lina Khan da yer aldı.
FTC, Ekim ayında suçlamalarını duyurdu ve şirketleri “makul ve uygun veri güvenliği” iddialarıyla “tüketicileri kandırmakla” suçladı. İddia edilen başarısızlıkları arasında kötü parola ve güvenlik duvarı uygulamalarına sahip olmak ve güncel olmayan yazılım ve sistemleri düzeltmemek vardı. FTC’nin suçlamaları açıkladığı gün, Connecticut Başsavcılığı Marriott’un 52 milyon dolarlık bir anlaşmayı kabul ettiğini duyurdu.
Şirketlerin güvenliklerini iyileştirmenin ötesinde, artık “tüketicilerin kişisel bilgilerini nasıl topladıkları, muhafaza ettikleri, kullandıkları, sildikleri veya ifşa ettikleri ve şirketlerin kişisel bilgilerin gizliliğini, güvenliğini, kullanılabilirliğini, gizliliğini veya bütünlüğünü ne ölçüde korudukları” konusunda yanlış beyanda bulunmaları yasaklanmıştır. Diğer gereklilikler arasında uyumluluk kayıtları tutmaları ve FTC denetimlerine tabi tutulmaları yer almaktadır. Emir 20 yıl boyunca yürürlükte kalacaktır.