Hotelketen Marriott meldt datadiefstal die 5 miljoen klanten treft

Hotelketen Marriott is opnieuw getroffen door een datalek. Daarbij zijn gegevens van meer dan vijf miljoen klanten buitgemaakt. Het gaat om hun namen en contactgegevens, geboortedatums, en reserveringsinformatie.

Het datalek vond medio januari van dit jaar plaats. Het bedrijf kwam daar eind februari achter, schrijft het in een blogpost. Criminelen zouden zijn binnengekomen via de logingegevens van twee medewerkers van een van de hotels in de keten. Marriott zegt dat het onderzoek nog loopt. Vooralsnog lijkt het erop dat de gegevens van 5,2 miljoen klanten van de keten zijn gestolen. Het gaat om namen, woon- en e-mailadressen, telefoonnummers en geboortedatums. Ook zijn sommige boekingsgegevens bij de hack buitgemaakt, waaronder gelinkte luchtvaartmaatschappijprogramma's, en verblijfs- en kamervoorkeuren. Onbekend is of dat laatste concreet betekent dat er verblijfsdata zijn gestolen. Marriott schrijft dat er geen aanwijzingen zijn dat wachtwoorden, identificatiebewijzen of financiële gegevens zijn gestolen.

Marriott heeft een website online gezet waarop klanten meer informatie kunnen vinden. Daar staan ook tips op over hoe klanten moeten opletten dat er geen identiteitsfraude met hun gegevens wordt gepleegd, en tips over het beveiligen van gegevens. Het is niet bekend of er ook Nederlandse slachtoffers door het lek getroffen zijn.

Het is niet de eerste keer dat de hotelketen last heeft van een groot datalek. In 2018 werden de gegevens van een half miljard klanten gestolen. Dat is tot nu toe een van de grootste datalekken in de geschiedenis. Bij dat datalek kregen de hackers ook creditcardgegevens in handen. Ze hadden ruim vier jaar toegang tot de systemen van de keten. Het bedrijf kreeg miljoenenboetes voor het slecht beveiligen van de gegevens.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 31-03-2020 15:02 45

31-03-2020 • 15:02

45

Lees meer

Holland America Line waarschuwt voor datalek met paspoortgegevens
Holland America Line waarschuwt voor datalek met paspoortgegevens Nieuws van 18 juni 2021
Creditcarddata van miljoenen hotelboekingen was vrij toegankelijk
Creditcarddata van miljoenen hotelboekingen was vrij toegankelijk Nieuws van 9 november 2020
Gegevens van klanten Social Deal mogelijk op straat na datalek
Gegevens van klanten Social Deal mogelijk op straat na datalek Nieuws van 8 april 2020
Amerikaanse bronnen wijzen naar China bij Marriott-datadiefstal
Amerikaanse bronnen wijzen naar China bij Marriott-datadiefstal Nieuws van 12 december 2018
Hotelketen Marriott meldt diefstal gegevens van half miljard klanten
Hotelketen Marriott meldt diefstal gegevens van half miljard klanten Nieuws van 30 november 2018
Meer producten en artikelen
Beveiliging en antivirus Datalek Hack Hackers

Reacties (45)

-Moderatie-faq
45
45
29
4
0
12
Wijzig sortering

Sorteer op:

Weergave:
_ferry_ Moderator CM 31 maart 2020 15:20
Ooit eens in kunnen loggen op 1 van hun systemen welke simpel geNAT was op :443. Wachtwoord had ik in 2x geraden. Via hun site contact gezocht, gemeld hoe en wat, niets van gehoord, en waarschijnlijk kan ik er nog steeds op inloggen.
Miljoenenboetes zijn blijkbaar niet voldoende.
Beta @_ferry_31 maart 2020 16:25
Dit dus!

Medewerkers bij Marriott zijn ook niet echt privacy aware. Meekijken op hun schermen tijdens een check in is peanuts en ik kon gegevens zien van andere gasten.
kodak
@_ferry_31 maart 2020 16:55
Toen en ook nu kun je dat hoe dan ook maar beter altijd melden bij de toezichthouder in plaats van alleen aan het bedrijf.
Arator 31 maart 2020 15:15
Misschien had er een kleine voetnoot bij het artikel gemogen welke hotelketens allemaal deel uitmaken van Marriott. Want eerst dacht "geen nood, die keten ken ik niet, nooit geweest." Tot je gaat kijken welke merken allemaal deel uitmaken van die groep : Sheraton, Ritz-Carlton, AC Hotels, Le Meridien, ... Ineens wordt de kans dat je in hun systemen zit, wel een pak groter.
WillySis 31 maart 2020 15:15
Zelfs boetes blijken niet te helpen.
Misschien moeten naast de boetes ook restricties (met hele hoge boetes bij niet naleven) worden uitgedeeld. Een restrictie kan dan bijvoorbeeld een verbod op het bewaren van klantgegevens zijn zodra het niet meer strikt noodzakelijk is.
Onder noodzakelijk moet je dan verstaan dat de dienst is geleverd en betaald.
Verwijderd @WillySis31 maart 2020 17:33
Onder noodzakelijk moet je dan verstaan dat de dienst is geleverd en betaald.
Leg jij dat dan even aan de belastingdienst uit? In sommige landen waar we actief zijn mogen we data volgens privacy regels maar drie jaar bewaren en eist de belasting dat we na 6 jaar nog elke transactie moeten kunnen laten zien. Zit nu al 9 maanden te wachten op een reactie van een van beide.
WillySis @Verwijderd31 maart 2020 20:13
De rekening (overschrijving oid) mag nog wel bewaard blijven. Dat is gewoon noodzakelijk. Wie een dienst of product heeft afgenomen hoeft niet bewaard te blijven (eventueel alleen het rekeningnummer van de betaling). Naam, geboortedatum, telefoonnummer, email en al die privacy gevoelige data hoeven helemaal niet bewaard te blijven.
De privacy regels en de eisen van de belasting kunnen dus prima samengaan.

Te veel bedrijven denken dat ze alle gegevens maar moeten blijven bewaren, maar dat is beslist niet noodzakelijk. Wij bewaren alle gegevens ook één jaar, alleen downloads blijven aan een e-mailadres gekoppeld omdat iedereen het recht heeft om de content later opnieuw te downloaden. Verder gaat alle data naar gebruiker "anoniempje". De financiële administratie is niet aan onze app gekoppeld. De consumenten producten zijn maar een klein deel van onze inkomsten.
Het.Draakje @Verwijderd1 april 2020 03:56
Bewaren kun je ook off-line. Belastingdienst heeft er echt geen moeite mee als je bij inspectie ze in een apart zaaltje neerzet waar een off-line computer staat. E.e.a. goed documenteren en klaar is kees.

Regel 1 van beveiliging tegen hackers: wat niet on-line is, is veilig. (Tenzij je fysiek toegang hebt maar dan heb je een groter probleem.
mjtdevries @WillySis31 maart 2020 15:25
Dat zullen ze wel toejuichen. De data meteen verwijderen als jij uit checked en hebt betaald.
Geen accountantscontroles etc meer mogelijk. Jaarrekeningen kunnen niet gecontroleerd worden, de mogelijkheden zijn eindeloos.
WillySis @mjtdevries31 maart 2020 20:19
De financiele transacties horen bij de noodzakelijke gegevens. Die moeten bewaard blijven, samen met waarvoor die transactie heeft plaats gevonden. (hier kamer XX van datum tot datum plus bijkomende diensten). Nergens staat dat ook alle gegevens van de klant bewaard moeten blijven.
De accountantscontroles en controle van de jaarrekeningen kunnen nog gewoon en zonder enige belemmering gedaan worden.
Killemov 31 maart 2020 15:07
Zucht, wanneer gooien bedrijven "oude" informatie nou eens weg?
Yalopa @Killemov31 maart 2020 15:53
Financiële gegevens moet een wettelijke periode bijgehouden worden. in België is dat geloof ik 7 jaar. Je gooit niet zomaar "oude data" weg.

toegegeven het kan gearchiveerd worden...
latka @Yalopa31 maart 2020 16:26
Je kamervoorkeur hoef je iig. geen 7 jaar te bewaren. Typisch een voorbeeld van niet selectief data opslaan: bewaar alles maar dat is eenvoudiger.
Verwijderd @latka31 maart 2020 17:09
De kamervoorkeur staat opgeslagen in het profiel van het Marriott Bonvoy loyaliteitsprogramma, en dat geldt ook voor de andere gegevens die genoemd worden. UIt je puntenopbrengst van het programma kun je ook wel afleiden wanneer je in welk hotel geweest bent. Dat nog even voor @TijsZonderH .

Tot nu toe nog geen mail ontvangen, terwijl ik 100% zeker in de Marriott Bonvoy database sta als statusklant. Wel tot nu toe nooit in de VS verbleven met dat account, dus misschien dat dat meespeelt.
mjtdevries @Verwijderd1 april 2020 11:47
En dat loyaliteitsprogramma is ook waar die "gelinkte luchtvaartmaatschappijprogramma's" uit komen.

En ook dat is een reden om verblijfsdata nog langere tijd te bewaren, want bij zo'n programma geldt vaak dat wanneer je lid word je ook eerdere verblijven nog kan claimen voor je loyaliteitsprogramma.

Maar ja, tweakers die zelden reizen kennen dat allemaal niet.
Bender @Killemov31 maart 2020 15:16
Het zou heel goed kunnen dat dit soort bedrijven het moeten bewaren voor een lange periode van de overheid.
Je kunt immers ook niet anoniem overnachten in een hotelketen omdat de overheid die informatie wil kunnen opeisen ivm opsporing van criminaliteit.
Zynth @Bender31 maart 2020 15:44
Dat kan ook wel offline dan.
Bender @Zynth31 maart 2020 16:00
Offline backups zou ik niet echt durven te vertrouwen als het gaat om beschikbaarheid om juridische redenen.
R4gnax
@Bender31 maart 2020 18:27
Je kunt immers ook niet anoniem overnachten in een hotelketen omdat de overheid die informatie wil kunnen opeisen ivm opsporing van criminaliteit.
In dat geval heb je voldoende aan de combinatie naam + nationaliteit + document nummer en een simpele visuele inspectie van het betreffende identiteitsbewijs door de medewerker.

Middels het document nummer weet je over welk officieel uitgegeven staatsdocument het gaat; middels nationaliteit weet je welke staat het uitgegeven heeft; en met de naam heb je een verificatie element wat tegen bijv. tik-fouten helpt.

Als een staat moet verifiëren of een bepaalde persoon bij een hotelketen heeft verbleven, hoeft hun politie-apparaat enkel het geregistreerde actieve documentnummer na te lopen bij de keten in kwestie.

Volledige kopiën van identiteitsbewijzen of volledige sets overgenomen persoonsgegevens zijn daar 100% niet nodig.

[Reactie gewijzigd door R4gnax op 23 juli 2024 11:54]

Bender @R4gnax31 maart 2020 19:06
Ik ben het zeker met je eens.

Maar de overheid wil in het kader van opsporing wel vaker dat je meer bewaard dan noodzakelijk is.
Killemov @Bender6 april 2020 09:33
Eens. En vervolgens wordt er weer veel meer veel langer bewaard dan de overheid wil. Als alle bedrijven hun oude backups bij de politie inleveren in het kader van "hebben jullie vast nodig" dan is het natuurlijk ook weer niet goed. Ik bedoel hiermee dat gegevens goed bewaren voor de kans op opsporing ook geld kost en dat de overheid hier nogal opportunistisch mee om gaat. En wat als je toch gegevens na een jaar weggooit? Wat is dan de financiele schade en weegt die op tegen de kosten?
jpsch @Killemov31 maart 2020 15:19
7.000 Hotels en resorts vallen onder Marriott. Dus gemiddeld 742 klanten per hotel/resort. Klinkt niet alsof ze decennia data bewaren.
Vizzie @jpsch31 maart 2020 15:23
Maar in 2018 hadden ze de gegevens van 100x meer klanten al laten stelen...en dan zit je op 70K klanten per hotel.

Ach aan de andere kant waren deze gegevens in 2018 waarschijnlijk al gestolen en zijn nu alleen mensen slachtoffer die er sinds die tijd nieuwe klant geworden zijn. Iets minder erg :P
jpsch @Vizzie31 maart 2020 15:30
Toen was er jarenlang toegang. Misschien hebben ze historie gewist of de oude gegevens beter beveiligd?
Pasteis @Killemov31 maart 2020 15:18
Zucht, wanneer gooien bedrijven "oude" informatie nou eens weg?
Helaas heb ik al een aantal situaties meegemaakt dat het door zoveel oude data te bewaren het echt een rotzooi kan worden in de masterdata van een organisatie. Je zou eigenlijk gewoon moeten willen dat klanten die langer dan 5 jaar (liefst nog korter) niks hebben afgenomen verwijdert worden in het bestand (op een aantal uitzonderingen na misschien). Het zou ook prettig wezen als je als klant kan kiezen of je gegevens eenmalig gebuikt worden (voor een eenmalige order/reservering) om vervolgens na een jaar automatisch verwijdert worden of geregistreerd mogen worden om mogelijk toekomstige orders te kunnen plaatsen.
mjtdevries @Killemov31 maart 2020 15:23
oud?

Hack is nog geen twee maanden oud. Sorry, maar dan ben je niet realistisch bezig als je vind dat die data al oud is en verwijderd had moeten zijn.
Orangelights23 @mjtdevries31 maart 2020 15:35
Wat bedoel je precies? Het gaat om een hack waarbij gegevens zijn gestolen die oud zijn, ofwel niet meer gebruikt worden - klanten overnachten niet in één van de hotels - en dus helemaal niet meer benodigd zijn om te bewaren.
Verwijderd @Killemov31 maart 2020 17:35
Zucht, wanneer gooien bedrijven "oude" informatie nou eens weg?
Niet zolang de belastingdienst eist dat ze het moet bewaren.
R4gnax
@Verwijderd31 maart 2020 18:36
Niet zolang de belastingdienst eist dat ze het moet bewaren.
Een belastingdienst gaat niet vragen om zaken als gekoppeld vluchtprogramma; verblijfsvoorkeur; of kamervoorkeur. Zelfs niet om geboortedatum.

Een belastingdienst is enkel geinteresseerd in facturering en belastbare transacties; en daarvoor wordt ten hoogste om de transactie-datum; naam koper; en leverings- of factuur-adres gevraagd. Vaak zijn de wettelijke minimale normen zelfs veel en veel lager.

Bijv. geldt hier in Nederland voor retail dat er voor transacties met niet-belastbare personen (o.a. en voornamelijk consumenten) geen verplichting is tot het uitschrijven van een factuur.

Een factuur is dan ook wat anders dan een recu, cq een kassabon. Grof gezegd is een factuur wat je vooraf krijgt en waarop staat wat je moet gaan betalen; en is een recu wat je betaald hebt. En er wordt echt zo--- vaak de foute term gebruikt dat het ingeburgerd is.

[Reactie gewijzigd door R4gnax op 23 juli 2024 11:54]

Orphu 31 maart 2020 15:07
Geven ze zelf tips over het beveiligen van gegevens? Dit is bijna een sigaar uit eigen doos verhaal. 8)7
AibohphobiA BoB @Orphu31 maart 2020 16:02
Het is geen 'sigaar uit eigen doos'. Dat zou inhouden dat je iets hebt gekregen dat al van jouw was. In dit geval ben je hooguit iets (virtueel) kwijtgeraakt dat van jou was, het omgekeerde dus.
Het is eerder 'De koe in de kont kieken'.
Orphu @AibohphobiA BoB31 maart 2020 16:12
Dat gezegde was mij niet bekend, maar past beter. Bedankt!

Overigens doelde ik op het feit dat ze beveiligingstips geven terwijl ze die beter zelf nodig hadden :)

[Reactie gewijzigd door Orphu op 23 juli 2024 11:54]

AibohphobiA BoB @Orphu1 april 2020 00:32
In dat geval bedoel je misschien 'De splinter in het oog van de ander zien, maar niet de balk in het eigen.'
Maar hoe dan ook, ze hebben behoorlijk de plank misgeslagen, zijn ze in de aap gelogeerd en hopelijk geven ze niet de pijp aan Maarten maar betalen ze met gelijke munt terug. :)
Bender 31 maart 2020 15:17
Ik ben erg benieuwd waarom dit via een werknemers account kan.. kan een werknemer een volledige klantendatabase exporteren?
Lijkt me ongewenste functionaliteit om data te beschermen.
jpsch @Bender31 maart 2020 15:32
Ligt aan de werknemer lijkt me. Zou wel gelogd moeten worden.
shenrbe @jpsch31 maart 2020 16:13
Een werknemer mag sowieso geen toegang krijgen op productiedatabases. Zelfs niet in readonly modus.
Gevoelige data mag nooit rechtstreeks toegankelijk zijn.
jpsch @shenrbe31 maart 2020 16:15
Succes met het afschermen van de medewerkers die bij de administratie, communicatie en database management zitten.
Pikoe @shenrbe31 maart 2020 18:54
Ik werk op het moment als BI-ontwikkelaar bij een ziekenhuis. We werken voornamelijk met een data warehouse wat AVG-proof is, maar daarvoor zal je toch echt eerst op (een kopie van) de productiedatabase moeten om data te onttrekken.
In theorie zou ik zo alle medische gegevens kunnen stelen. Hoe wil je dat afschermen?
TonyZh 31 maart 2020 15:12
Het lijkt me belangrijk dat de database nog een extra beveiligingslaag heeft wanneer criminelen binnenkomen en persoonlijk vind ik zulke beveiligingslekken onverantwoord. Dit is ook niet de eerste keer en blijkbaar hebben ze dus niet van hun fouten geleerd. De volgende keer gewoon een flinke boete geven, zodat bedrijven dit soort zaken op orde krijgen.

-Zorg ervoor dat er protocollen zijn en train personeel om goed om te gaan met deze gegevens.
-Zorg voor een sterk wachtwoord dat niet zomaar geraden kan worden.
-Zorg ervoor dat je de database (met adminrechten) alleen kan binnenkomen met 2FA.
-Persoonlijke informatie zou geëncrypt moeten worden en wachtwoorden zouden gehashed moeten worden met zout en pepper en ook daarna geëncrypt moeten worden, zodat de aanvaller helemaal niks aan de data heeft.

[Reactie gewijzigd door TonyZh op 23 juli 2024 11:54]

Palomar 31 maart 2020 15:28
Jaar of 7-8 geleden paar keer in een 'AC by Marriott' hotel gezeten, maar mijn gegevens zijn volgens de tool in genoemde website niet gelekt (https://privacyportal-cdn...c1-97c6-37764e40d3f6.html). Om die te gebruiken moet je ook niet al te achterdochtig zijn. Je wordt doorgelinkt naar een url die niet echt meer van Marriott lijkt te zijn en dan moet je al je gegevens even inkloppen (gelukkig heb ik niks te verbergen :X)
CyBeRSPiN 31 maart 2020 15:51
Moet zeggen dat de afhandeling wel netjes is. Ook even gecontroleerd en gelukkig ook niet een van de "gelukkigen" wiens gegevens gestolen zijn.
Maar ik probeer ook altijd en overal te opt-outen van elk systeem waar men mijn gegevens in wil stoppen..
lynxie 31 maart 2020 16:24
Ik heb in het verleden heel veel gereisd voor mijn werk, ik weet echt niet meer bij welke hotels en hotelketens ik allemaal geweest ben, maar blijkbaar ook bij het Mariott, vanmiddag mail gehad. Het is goed om in ieder geval te weten dat het gebeurd is maar alle info en mogelijkheden bij een instantie ten spijt is het gewoon te laat en weet ik niet precies welke gegevens van mij zijn buit gemaakt, er is geen weg terug.
kodak
@lynxie31 maart 2020 16:59
Staat er in die mail ook dat ze melding hebben gedaan bij de toezichthouder? Fijn natuurlijk dat ze hun klanten informeren, maar dit is blijkbaar niet het eerste lek dat ze hebben. Dan zou je er wel op aan kunnen dringen dat de toezichthouder er strenger naar gaat kijken in plaats van steeds meer slachtoffers te laten maken.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq