Lộ thông tin 339 triệu khách hàng, Marriott dính án phạt nặng

Sau 2 năm, sự cố rò rỉ thông tin cá nhân của 339 triệu khách tại các khách sạn thuộc tập đoàn Starwood Hotels đã tạm kết thúc.  

Ngày 30/10, Văn phòng Ủy viên Thông tin Vương quốc Anh (ICO) ra thông báo cho biết họ đã phạt Marriott 18,4 triệu bảng Anh (khoảng 24 triệu USD) vì không bảo mật dữ liệu cá nhân của khách hàng. Theo ICO, hình phạt chỉ dành cho những vi phạm của Marriott sau khi Quy định chung về bảo vệ dữ liệu (GDPR) của EU có hiệu lực.

Lộ thông tin 339 triệu khách hàng, Marriott dính án phạt nặng
Trước đó, án phạt mà ICO đề xuất cho Marriott lên tới hơn 99 triệu bảng Anh

Tiền phạt giảm đáng kể do các biện pháp khắc phục hậu quả và ảnh hưởng đại dịch

Sự cố rò rỉ thông tin bị phanh phui vào ngày 30/11/2018. Vào thời điểm đó, Marriott nói rằng khoảng 500 triệu thông tin khách trong cơ sở dữ liệu đặt phòng khách sạn Starwood của họ có thể bị rò rỉ. Thông tin bị phát tán bao gồm tên, địa chỉ gửi thư, số điện thoại, email, số hộ chiếu, ngày sinh, giới tính, thời gian nhận phòng và trả phòng, ngày đặt phòng và sở thích liên lạc, cũng như một số khoản thanh toán của khách hàng, bao gồm số thẻ và thời hạn hiệu lực.

Sau khi điều tra, ICO cuối cùng xác nhận số lượng khách bị ảnh hưởng là 339 triệu. Trong số đó, 30 triệu người đến từ 31 quốc gia thuộc Khu vực Kinh tế Châu Âu (EEA) và khoảng 7 triệu công dân Anh bị ảnh hưởng. Mặc dù sự việc bị phanh phui sau khi GDPR có hiệu lực, ICO đã chỉ ra nguyên nhân của vụ việc là do Starwood Hotels bị tấn công mạng vào năm 2014 và Marriott đã phát hiện ra lỗ hổng vào tháng 9/2018 sau khi mua lại Starwood Hotels vào năm 2016.

Bằng cách cấy mã độc và cài đặt phần mềm độc hại vào thiết bị hệ thống của khách sạn Starwood, kẻ tấn công truy cập từ xa vào hệ thống với tư cách là người dùng đặc quyền và xuất dữ liệu trong cơ sở dữ liệu đặt phòng của Starwood Hotels. Tháng 7/2019, ICO đưa ra một thông báo cho biết Marriott đã không tiến hành một cuộc điều tra đầy đủ khi mua lại Starwood Hotels và lẽ ra họ phải thực hiện nhiều biện pháp hơn để bảo vệ hệ thống của mình.

Do đó, ICO đề xuất mức phạt lên tới 99,2 triệu bảng Anh (khoảng 129 triệu USD) đối với Marriott, xấp xỉ 3% doanh thu toàn cầu của Marriott vào năm 2018. Tuy nhiên, đây không phải là quyết định cuối cùng, Marriott vẫn có cơ hội để giảm nhẹ mức phạt.

Sau đó, Marriott tuyên bố trong một tài liệu gửi lên Ủy ban Chứng khoán và Giao dịch Mỹ rằng họ "rất thất vọng" với quyết định của ICO và cho biết sẽ "bắt đầu biện hộ". Marriott nhấn mạnh rằng hệ thống đặt phòng Starwood đã bị xâm phạm trong vụ vi phạm dữ liệu không còn hoạt động thương mại.

Sau khi nhận được phản hồi từ Marriott, ICO đã công nhận trong tuyên bố vào ngày 30/10 rằng Marriott nhanh chóng xử lý và khắc phục hậu quả để giảm thiểu hại cho khách hàng, cũng như áp dụng các biện pháp cải thiện hệ thống bảo mật. Ngoài ra, do ảnh hưởng từ đại dịch đến tình hình kinh doanh chung, cuối cùng họ quyết định phạt 18,4 triệu bảng Anh.

ICO cũng đề cập rằng vì sự cố này xảy ra trước Brexit (sự kiện Vương quốc Anh rút khỏi EU) nên ICO đóng vai trò là cơ quan giám sát chính để điều tra thay mặt cho tất cả cơ quan có thẩm quyền của EU và được các cơ quan bảo vệ dữ liệu quốc gia của EU chấp thuận.

 

Marriott phải đối mặt với nhiều vụ kiện tập thể

Marriott không phải là trường hợp đầu tiên lọt tầm ngắm của ICO. Ngày 16/10, Văn phòng Ủy viên Thông tin Vương quốc Anh vừa công bố mức phạt cao nhất sau khi GDPR có hiệu lực đối với British Airways khi tên, địa chỉ, số thẻ ngân hàng, mã CVV cùng thông tin cá nhân của 420.000 khách hàng và nhân viên British Airways bị lộ. ICO cho rằng những biện pháp bảo vệ mong manh của British Airways là nguyên nhân quan trọng dẫn đến sự cố này và đưa ra mức phạt 20 triệu bảng Anh.

Tương tự như Marriott, trong thông báo ban đầu về ý định phạt do ICO đưa ra, khoản tiền phạt là 183 triệu bảng Anh, chiếm khoảng 1,5% doanh thu năm 2018 của British Airways. Sau đó, ICO tuyên bố rằng giảm tiền phạt vì tính đến tác động kinh tế của British Airways do dịch bệnh.

Một số người tin rằng động thái này làm nổi bật tác động của đại dịch đối với việc giám sát. Về khoản tiền phạt của British Airways, do các công ty liên quan đang gặp khó khăn, cơ quan quản lý chọn áp dụng một thái độ ít cứng rắn hơn về hình phạt tài chính. Đối với Marriott, công ty có số lượng người lớn hơn và chuỗi công nghiệp toàn cầu, rắc rối mà họ phải đối mặt có thể còn nhiều hơn cả tiền phạt ICO.

Sau khi vụ việc xảy ra, Cục Điều tra Liên bang Mỹ đã bày tỏ sự quan tâm sâu sát, và tổng chưởng lý của New York, Massachusetts, Maryland và Illinois cũng bắt đầu điều tra sự việc. Chỉ tính riêng trong năm 2018, các cá nhân và công ty luật đã đệ đơn ít nhất hai vụ kiện tập thể chống lại Marriott, yêu cầu bồi thường hàng chục tỷ USD.

Theo thống kê chưa đầy đủ, tính đến thời điểm hiện tại, Marriott đã phải đối mặt với các vụ kiện ở Mỹ, Canada và những nơi khác vì vụ rò rỉ thông tin này. Trong nửa đầu năm 2019, một thẩm phán ở Mỹ đã hợp nhất 11 vụ kiện tập thể thành một. Vào tháng 2 năm nay, một thẩm phán ra phán quyết rằng vụ kiện chống lại Marriott nên tiếp tục.

Tuy nhiên, trong lịch sử, loại vụ kiện tập thể này thường mất vài năm để bước vào giai đoạn xét xử và hầu hết các trường hợp đều đạt được thỏa thuận.

Phong Vũ

Điều gì ẩn sau công cụ tìm kiếm tự phát triển của Apple?

Điều gì ẩn sau công cụ tìm kiếm tự phát triển của Apple?

Hiện tại, khi người dùng iPhone sử dụng iOS 14 gõ truy vấn vào cửa sổ tìm kiếm, Apple sẽ hiển thị kết quả tìm kiếm của chính mình thay vì kết quả tìm kiếm của Google.

Chủ đề :
 
List comment
 
Nhà lãnh đạo toàn cầu mới về quản lý và bảo vệ dữ liệu
icon

Eden Prairie, MN - Arcserve, nhà cung cấp giải pháp bảo vệ dữ liệu và ransomware có kinh nghiệm hàng đầu thế giới và StorageCraft cùng hợp tác để giải quyết các thách thức liên tục trong kinh doanh, cho mọi quy mô tổ chức trên toàn thế giới. 

 
Microsoft tung bản vá khẩn cấp lỗ hổng PrintNightmare
icon

Microsoft vừa phát hành bản vá khẩn cấp cho lỗ hổng nghiêm trọng PrintNightmare trong dịch vụ Windows Print Spooler, cho phép hacker chiếm quyền máy tính từ xa.  

 
Giả mạo website của địa phương để... thông tin về đặt cược bóng đá
icon

Gần đây, nhiều cơ quan, tổ chức bị các đối tượng xấu lập website giả mạo trang thông tin điện tử để lừa người dùng. Đây là vấn nạn phổ biến, ảnh hưởng xấu đến uy tín, hình ảnh các đơn vị.

 
Lỗ hổng mới trong WinRAR có thể dẫn đến các chiến dịch tấn công APT diện rộng
icon

Khai thác thành công lỗ hổng CVE-2021-35052 trong phần mềm nén và giải nén dữ liệu WinRAR, hacker có thể  tấn công vào hàng loạt máy tính đang cài WinRAR,  từ đó có thể dẫn đến các chiến dịch tấn công có chủ đích trên diện rộng. 

 
Chuyên gia an ninh mạng Việt Nam đứng đầu bảng xếp hạng hacker mũ trắng thế giới
icon

Nguyễn Tuấn Anh, chuyên gia bảo mật của Viettel Cyber Security, đã vượt qua hơn 25 nghìn “hacker mũ trắng” trên thế giới để đứng đầu bảng xếp hạng tháng 6/2021.

 
 
Phát hiện lỗ hổng bảo mật mới trong Windows Print Spooler
icon

Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) vừa thông tin đến các cơ quan, tổ chức, doanh nghiệp nhà nước về CVE-2021-34527, lỗ hổng thực thi mã từ xa thứ 2 trong Windows Print Spooler.

Tin tặc gửi email đe dọa đòi tiền chuộc bằng Bitcoin
icon

Tin tặc gửi email thông báo máy tính của nạn nhân bị hack và yêu cầu chuyển số tiền bằng Bitcoin tương đương 25 triệu đồng nếu không sẽ tung các thông tin nhạy cảm.

Google xóa PIP Photo và 8 ứng dụng đánh cắp mật khẩu Facebook
icon

9 ứng dụng Android với tổng 5,8 triệu lượt tải đã bị Google xóa sổ do chúng đánh cắp thông tin đăng nhập Facebook của người dùng.  

Mối đe dọa từ mã độc đào tiền ảo
icon

Cơn sốt tiền ảo, tiền điện tử đang làm gia tăng tội phạm mạng sử dụng mã độc đào tiền ảo tấn công hệ thống máy tính của các tổ chức, doanh nghiệp, nhất là doanh nghiệp vừa và nhỏ.

Hơn 2.900 sự cố tấn công mạng vào các hệ thống Việt Nam trong nửa đầu 2021
icon

Để bảo đảm an toàn thông tin mạng, trong thời gian tới, Bộ TT&TT sẽ tiếp tục giám sát, chủ động rà quét trên không gian mạng.

 
123

Giấy phép hoạt động báo chí: Số 09/GP-BTTTT, Bộ Thông tin và Truyền thông cấp ngày 07/01/2019.

Tòa soạn: Tầng 7, Tòa nhà Cục Tần số Vô tuyến điện, 115 Trần Duy Hưng, Quận Cầu Giấy, Hà Nội

Điện thoại: 024 3 936 9966 - Fax: 024 3 936 9364

Hotline nội dung: 0888 911 911 - Email: toasoan@ictnews.vn

123