Lộ thông tin 339 triệu khách hàng, Marriott dính án phạt nặng

Sau 2 năm, sự cố rò rỉ thông tin cá nhân của 339 triệu khách tại các khách sạn thuộc tập đoàn Starwood Hotels đã tạm kết thúc.  

Ngày 30/10, Văn phòng Ủy viên Thông tin Vương quốc Anh (ICO) ra thông báo cho biết họ đã phạt Marriott 18,4 triệu bảng Anh (khoảng 24 triệu USD) vì không bảo mật dữ liệu cá nhân của khách hàng. Theo ICO, hình phạt chỉ dành cho những vi phạm của Marriott sau khi Quy định chung về bảo vệ dữ liệu (GDPR) của EU có hiệu lực.

Lộ thông tin 339 triệu khách hàng, Marriott dính án phạt nặng
Trước đó, án phạt mà ICO đề xuất cho Marriott lên tới hơn 99 triệu bảng Anh

Tiền phạt giảm đáng kể do các biện pháp khắc phục hậu quả và ảnh hưởng đại dịch

Sự cố rò rỉ thông tin bị phanh phui vào ngày 30/11/2018. Vào thời điểm đó, Marriott nói rằng khoảng 500 triệu thông tin khách trong cơ sở dữ liệu đặt phòng khách sạn Starwood của họ có thể bị rò rỉ. Thông tin bị phát tán bao gồm tên, địa chỉ gửi thư, số điện thoại, email, số hộ chiếu, ngày sinh, giới tính, thời gian nhận phòng và trả phòng, ngày đặt phòng và sở thích liên lạc, cũng như một số khoản thanh toán của khách hàng, bao gồm số thẻ và thời hạn hiệu lực.

Sau khi điều tra, ICO cuối cùng xác nhận số lượng khách bị ảnh hưởng là 339 triệu. Trong số đó, 30 triệu người đến từ 31 quốc gia thuộc Khu vực Kinh tế Châu Âu (EEA) và khoảng 7 triệu công dân Anh bị ảnh hưởng. Mặc dù sự việc bị phanh phui sau khi GDPR có hiệu lực, ICO đã chỉ ra nguyên nhân của vụ việc là do Starwood Hotels bị tấn công mạng vào năm 2014 và Marriott đã phát hiện ra lỗ hổng vào tháng 9/2018 sau khi mua lại Starwood Hotels vào năm 2016.

Bằng cách cấy mã độc và cài đặt phần mềm độc hại vào thiết bị hệ thống của khách sạn Starwood, kẻ tấn công truy cập từ xa vào hệ thống với tư cách là người dùng đặc quyền và xuất dữ liệu trong cơ sở dữ liệu đặt phòng của Starwood Hotels. Tháng 7/2019, ICO đưa ra một thông báo cho biết Marriott đã không tiến hành một cuộc điều tra đầy đủ khi mua lại Starwood Hotels và lẽ ra họ phải thực hiện nhiều biện pháp hơn để bảo vệ hệ thống của mình.

Do đó, ICO đề xuất mức phạt lên tới 99,2 triệu bảng Anh (khoảng 129 triệu USD) đối với Marriott, xấp xỉ 3% doanh thu toàn cầu của Marriott vào năm 2018. Tuy nhiên, đây không phải là quyết định cuối cùng, Marriott vẫn có cơ hội để giảm nhẹ mức phạt.

Sau đó, Marriott tuyên bố trong một tài liệu gửi lên Ủy ban Chứng khoán và Giao dịch Mỹ rằng họ "rất thất vọng" với quyết định của ICO và cho biết sẽ "bắt đầu biện hộ". Marriott nhấn mạnh rằng hệ thống đặt phòng Starwood đã bị xâm phạm trong vụ vi phạm dữ liệu không còn hoạt động thương mại.

Sau khi nhận được phản hồi từ Marriott, ICO đã công nhận trong tuyên bố vào ngày 30/10 rằng Marriott nhanh chóng xử lý và khắc phục hậu quả để giảm thiểu hại cho khách hàng, cũng như áp dụng các biện pháp cải thiện hệ thống bảo mật. Ngoài ra, do ảnh hưởng từ đại dịch đến tình hình kinh doanh chung, cuối cùng họ quyết định phạt 18,4 triệu bảng Anh.

ICO cũng đề cập rằng vì sự cố này xảy ra trước Brexit (sự kiện Vương quốc Anh rút khỏi EU) nên ICO đóng vai trò là cơ quan giám sát chính để điều tra thay mặt cho tất cả cơ quan có thẩm quyền của EU và được các cơ quan bảo vệ dữ liệu quốc gia của EU chấp thuận.

 

Marriott phải đối mặt với nhiều vụ kiện tập thể

Marriott không phải là trường hợp đầu tiên lọt tầm ngắm của ICO. Ngày 16/10, Văn phòng Ủy viên Thông tin Vương quốc Anh vừa công bố mức phạt cao nhất sau khi GDPR có hiệu lực đối với British Airways khi tên, địa chỉ, số thẻ ngân hàng, mã CVV cùng thông tin cá nhân của 420.000 khách hàng và nhân viên British Airways bị lộ. ICO cho rằng những biện pháp bảo vệ mong manh của British Airways là nguyên nhân quan trọng dẫn đến sự cố này và đưa ra mức phạt 20 triệu bảng Anh.

Tương tự như Marriott, trong thông báo ban đầu về ý định phạt do ICO đưa ra, khoản tiền phạt là 183 triệu bảng Anh, chiếm khoảng 1,5% doanh thu năm 2018 của British Airways. Sau đó, ICO tuyên bố rằng giảm tiền phạt vì tính đến tác động kinh tế của British Airways do dịch bệnh.

Một số người tin rằng động thái này làm nổi bật tác động của đại dịch đối với việc giám sát. Về khoản tiền phạt của British Airways, do các công ty liên quan đang gặp khó khăn, cơ quan quản lý chọn áp dụng một thái độ ít cứng rắn hơn về hình phạt tài chính. Đối với Marriott, công ty có số lượng người lớn hơn và chuỗi công nghiệp toàn cầu, rắc rối mà họ phải đối mặt có thể còn nhiều hơn cả tiền phạt ICO.

Sau khi vụ việc xảy ra, Cục Điều tra Liên bang Mỹ đã bày tỏ sự quan tâm sâu sát, và tổng chưởng lý của New York, Massachusetts, Maryland và Illinois cũng bắt đầu điều tra sự việc. Chỉ tính riêng trong năm 2018, các cá nhân và công ty luật đã đệ đơn ít nhất hai vụ kiện tập thể chống lại Marriott, yêu cầu bồi thường hàng chục tỷ USD.

Theo thống kê chưa đầy đủ, tính đến thời điểm hiện tại, Marriott đã phải đối mặt với các vụ kiện ở Mỹ, Canada và những nơi khác vì vụ rò rỉ thông tin này. Trong nửa đầu năm 2019, một thẩm phán ở Mỹ đã hợp nhất 11 vụ kiện tập thể thành một. Vào tháng 2 năm nay, một thẩm phán ra phán quyết rằng vụ kiện chống lại Marriott nên tiếp tục.

Tuy nhiên, trong lịch sử, loại vụ kiện tập thể này thường mất vài năm để bước vào giai đoạn xét xử và hầu hết các trường hợp đều đạt được thỏa thuận.

Phong Vũ

Điều gì ẩn sau công cụ tìm kiếm tự phát triển của Apple?

Điều gì ẩn sau công cụ tìm kiếm tự phát triển của Apple?

Hiện tại, khi người dùng iPhone sử dụng iOS 14 gõ truy vấn vào cửa sổ tìm kiếm, Apple sẽ hiển thị kết quả tìm kiếm của chính mình thay vì kết quả tìm kiếm của Google.

Chủ đề :
 
List comment
 
Mã độc tống tiền bộc lộ điểm yếu tiềm ẩn trong giới công nghệ
icon

Mã độc tống tiền phản ánh nhiều lỗ hổng công nghệ trong thế giới thực mà người ta thường lãng quên hay xem nhẹ.

 
Kho bạc Nhà nước sẽ đầu tư về an toàn bảo mật cho hạ tầng CNTT
icon

Kho bạc Nhà nước cho biết sẽ xây dựng Kiến trúc các hệ thống CNTT theo hướng hình thành Kho bạc điện tử và Kho bạc số giai đoạn 2021-2030 và đầu tư nâng cao an toàn bảo mật cho hệ thống của mình.

 
Đảm bảo an toàn thông tin cho điện toán đám mây là định hướng chủ lực của quốc gia
icon

Bộ TT&TT đã xác định, nền tảng điện toán đám mây là hạ tầng viễn thông thế hệ mới trong vòng 5 - 10 năm tới và sẽ là định hướng chủ lực của quốc gia cần tập trung phát triển trong thời gian tới.

 
Đảm bảo an toàn thông tin cho mạng 5G là bảo đảm cho hạ tầng số quốc gia
icon

Ông Nguyễn Khắc Lịch, Phó Cục trưởng Cục An toàn thông tin, Bộ TT&TT cho biết, bảo đảm an toàn thông tin cho mạng 5G cũng chính là bảo đảm an toàn, an ninh mạng cho hạ tầng số quốc gia.

 
Lộ thông tin từ camera giám sát và bài toán “Make in Việt Nam”
icon

Các chuyên gia bảo mật cho biết, thiết bị IoT nói chung và camera giám sát nói riêng chỉ tập trung về mặt tính năng chứ không chú trọng đến những biện pháp bảo đảm an toàn thông tin.

 
 
Sau tài chính, ngân hàng, smart city sẽ là điểm ngắm của tội phạm mạng
icon

Tội phạm mạng thường tập trung vào các lĩnh vực tài chính, ngân hàng với mục đích tấn công để trục lợi và tấn công vào các đơn vị cơ quan đầu não nhằm đánh cắp thông tin bảo mật quan trọng.

Việt Nam có các chuyên gia bảo mật tầm cỡ quốc tế
icon

Việt Nam đặt mục tiêu về chỉ số ATTT với xếp hạng thứ 40 vào năm 2025, thứ 30 vào năm 2030 và trở thành cường quốc về an ninh mạng. Việt Nam xác định nhân lực đóng vai trò quan trọng để thực hiện mục tiêu này.

Doanh nghiệp nói gì về mục tiêu Việt Nam trở thành cường quốc về an ninh mạng?
icon

Ông Nguyễn Khắc Lịch, Phó Cục trưởng Cục An toàn thông tin (ATTT) - Bộ TT&TT cho biết, Bộ TT&TT đưa ra mục tiêu Việt Nam phải phát triển triển thành cường quốc về an ninh mạng.

Việt Nam phải làm chủ hệ sinh thái các sản phẩm an toàn, an ninh mạng
icon

Bộ trưởng Bộ TT&TT Nguyễn Mạnh Hùng khẳng định, sứ mệnh của an toàn, an ninh mạng Việt Nam là bảo vệ sự thịnh vượng của quốc gia trên không gian mạng. 

Hợp tác xây dựng Học viện An ninh không gian số đầu tiên tại Việt Nam
icon

Một nội dung chính trong hợp tác mới ký kết giữa Viện CNTT&TT - Đại học Bách khoa Hà Nội với Bkav là xây dựng Học viện An ninh không gian số đầu tiên tại Việt Nam. Học viện này dự kiến sẽ ra mắt trong quý II/2021.

 
123

Giấy phép hoạt động báo chí: Số 09/GP-BTTTT, Bộ Thông tin và Truyền thông cấp ngày 07/01/2019.

Tòa soạn: Tầng 7, Tòa nhà Cục Tần số Vô tuyến điện, 115 Trần Duy Hưng, Quận Cầu Giấy, Hà Nội

Điện thoại: 024 3 936 9966 - Fax: 024 3 936 9364

Hotline nội dung: 0888 911 911 - Email: toasoan@ictnews.vn

123