Marriotts sikkerhedsbrud afslørede data på op til 500 millioner gæster (Opdatering)

Et sikkerhedsbrud inde i Marriott-hotelimperiet kompromitterede oplysningerne fra så mange som 500 millioner gæster verden over, afsløre deres kreditkortnumre, pasnumre og fødselsdatoer i så længe som fire år, det oplyser selskabet fredag.

Krisen viste sig hurtigt som et af de største databrud nogensinde. Til sammenligning, sidste års opsigtsvækkende Equifax-hack ramte mere end 145 millioner mennesker.

Analytikere var foruroligede over, hvor lang tid bruddet havde stået på. Mange sikkerhedsbrud strækker sig over måneder, i gennemsnit 90 til 200 dage, men denne begyndte i 2014.

De berørte hotelmærker blev drevet af Starwood, før det blev opkøbt af Marriott i 2016. De omfatter W Hotels, St. Regis, Sheraton, Westin, Element, højt, Luksuskollektionen, Le Méridien og Four Points. Starwood-mærket timeshare-ejendomme var også inkluderet.

Ingen af ​​Marriott-mærkede kæder var truet.

For så mange som to tredjedele af de berørte, de eksponerede data kan omfatte postadresser, telefonnumre, e-mailadresser og pasnumre. Starwood Preferred Guest-kontooplysninger kan også inkluderes, fødselsdato, køn, ankomst- og afgangstider og reservationsdatoer.

Kreditkortnumre og udløbsdatoer for nogle gæster kan være blevet taget, ifølge virksomheden.

"Vi manglede, hvad vores gæster fortjener, og hvad vi forventer af os selv, " CEO Arne Sorenson sagde i en erklæring. "Vi gør alt, hvad vi kan for at støtte vores gæster, og ved at bruge erfaringerne til at komme bedre fremad."

Det er ikke almindeligt, at pasnumre er en del af et hack, men det er ikke uhørt. Det Hong Kong-baserede flyselskab Cathay Pacific Airways sagde i oktober, at 9,4 millioner passagerers information var blevet brudt, inklusive pasnumre.

Pasnumre kan føjes til komplette datasæt om en person, som dårlige skuespillere sælger på det sorte marked, fører til identitetstyveri. Og mens kreditkortindustrien kan annullere konti og udstede nye kort inden for få dage, det er en meget sværere proces, ofte gennemsyret af regeringsbureaukrati, at få et nyt pas.

Men en forløsende faktor ved pas er, at de ofte skal ses personligt, sagde Ryan Wilk fra NuData Security. "Det er et meget sikkert dokument med en masse sikkerhedsfunktioner, " han sagde.

E-mail-notifikationer til dem, der muligvis er blevet berørt, begynder at rulle ud fredag.

Tallet på 500 millioner inkluderer antallet af gæster, der har foretaget en reservation på et af de berørte hoteller. Men det kan også omfatte en enkelt person, der har booket flere ophold, sagde virksomheden.

Bedt om flere detaljer, Marriott talsmand Jeff Flaherty sagde fredag, at virksomheden ikke er færdig med at identificere duplikerede oplysninger i databasen.

Da fusionen først blev annonceret i 2015, Starwood havde 21 millioner mennesker i sit loyalitetsprogram. Virksomheden administrerer mere end 6, 700 ejendomme over hele kloden, mest i Nordamerika.

Mens den første impuls for dem, der potentielt er berørt af bruddet, kunne være at tjekke kreditkort, sikkerhedseksperter siger, at andre oplysninger i databasen kan være mere skadelige.

"Navnene, adresser, pasnumre og andre følsomme personlige oplysninger, der blev afsløret, giver større bekymring end betalingsoplysningerne, som var krypteret, " sagde analytiker Ted Rossman fra CreditCards.com. "Folk burde være bekymrede over, at kriminelle kunne bruge disse oplysninger til at åbne svigagtige konti i deres navne."

Et internt sikkerhedsværktøj signalerede et potentielt brud i begyndelsen af ​​september, men virksomheden var ikke i stand til at dekryptere de oplysninger, der ville definere, hvilke data der muligvis var blevet afsløret, indtil sidste uge.

Marriott, baseret i Bethesda, Maryland, sagde i en regulatorisk ansøgning, at det er for tidligt at vurdere, hvilken økonomisk indvirkning bruddet vil have på virksomheden. Det bemærkede, at det har cyberforsikring, og arbejder sammen med sine forsikringsselskaber for at vurdere dækningen.

Starwood-bruddet skiller sig ud blandt selv de største sikkerhedshak nogensinde.

Yahoo havde databrud i 2013 og 2014, der påvirkede omkring 3 milliarder konti. Target havde også en hændelse i 2013, der påvirkede mere end 41 millioner kundebetalingskortkonti og afslørede kontaktoplysninger for mere end 60 millioner kunder.

Folkevalgte var hurtige til at opfordre til handling.

New Yorks justitsminister åbnede en undersøgelse. Virginia Sen. Mark Warner, medstifter af Senatet cybersikkerhed caucus og topdemokraten i Senatets Efterretningskomité, sagde, at USA har brug for love, der vil begrænse de data, virksomheder kan indsamle om deres kunder.

"Det er tidligere tid, vi vedtager datasikkerhedslove, der sikrer, at virksomheder tager højde for sikkerhedsomkostninger i stedet for at få deres forbrugere til at bære byrden og skaderne som følge af disse bortfald, " sagde Warner i en forberedt erklæring.

Marriott har haft en stenet proces med at fusionere sit computersystem med Starwood-computere. Medlemmer af begge loyalitetsprogrammer har klaget over manglende point, fejl med ophold, der krediteres deres konti og problemer med gratis nætter optjent fra kreditkort, der ikke vises.

Sorenson sagde, at Marriott stadig forsøger at udfase Starwood-systemer.

Marriott har oprettet et websted og et callcenter for alle, der mener, at de er i fare.

© 2018 The Associated Press. Alle rettigheder forbeholdes.