Lộ thông tin 339 triệu khách hàng, Marriott dính án phạt nặng

Sau 2 năm, sự cố rò rỉ thông tin cá nhân của 339 triệu khách tại các khách sạn thuộc tập đoàn Starwood Hotels đã tạm kết thúc.  

Ngày 30/10, Văn phòng Ủy viên Thông tin Vương quốc Anh (ICO) ra thông báo cho biết họ đã phạt Marriott 18,4 triệu bảng Anh (khoảng 24 triệu USD) vì không bảo mật dữ liệu cá nhân của khách hàng. Theo ICO, hình phạt chỉ dành cho những vi phạm của Marriott sau khi Quy định chung về bảo vệ dữ liệu (GDPR) của EU có hiệu lực.

Lộ thông tin 339 triệu khách hàng, Marriott dính án phạt nặng
Trước đó, án phạt mà ICO đề xuất cho Marriott lên tới hơn 99 triệu bảng Anh

Tiền phạt giảm đáng kể do các biện pháp khắc phục hậu quả và ảnh hưởng đại dịch

Sự cố rò rỉ thông tin bị phanh phui vào ngày 30/11/2018. Vào thời điểm đó, Marriott nói rằng khoảng 500 triệu thông tin khách trong cơ sở dữ liệu đặt phòng khách sạn Starwood của họ có thể bị rò rỉ. Thông tin bị phát tán bao gồm tên, địa chỉ gửi thư, số điện thoại, email, số hộ chiếu, ngày sinh, giới tính, thời gian nhận phòng và trả phòng, ngày đặt phòng và sở thích liên lạc, cũng như một số khoản thanh toán của khách hàng, bao gồm số thẻ và thời hạn hiệu lực.

Sau khi điều tra, ICO cuối cùng xác nhận số lượng khách bị ảnh hưởng là 339 triệu. Trong số đó, 30 triệu người đến từ 31 quốc gia thuộc Khu vực Kinh tế Châu Âu (EEA) và khoảng 7 triệu công dân Anh bị ảnh hưởng. Mặc dù sự việc bị phanh phui sau khi GDPR có hiệu lực, ICO đã chỉ ra nguyên nhân của vụ việc là do Starwood Hotels bị tấn công mạng vào năm 2014 và Marriott đã phát hiện ra lỗ hổng vào tháng 9/2018 sau khi mua lại Starwood Hotels vào năm 2016.

Bằng cách cấy mã độc và cài đặt phần mềm độc hại vào thiết bị hệ thống của khách sạn Starwood, kẻ tấn công truy cập từ xa vào hệ thống với tư cách là người dùng đặc quyền và xuất dữ liệu trong cơ sở dữ liệu đặt phòng của Starwood Hotels. Tháng 7/2019, ICO đưa ra một thông báo cho biết Marriott đã không tiến hành một cuộc điều tra đầy đủ khi mua lại Starwood Hotels và lẽ ra họ phải thực hiện nhiều biện pháp hơn để bảo vệ hệ thống của mình.

Do đó, ICO đề xuất mức phạt lên tới 99,2 triệu bảng Anh (khoảng 129 triệu USD) đối với Marriott, xấp xỉ 3% doanh thu toàn cầu của Marriott vào năm 2018. Tuy nhiên, đây không phải là quyết định cuối cùng, Marriott vẫn có cơ hội để giảm nhẹ mức phạt.

Sau đó, Marriott tuyên bố trong một tài liệu gửi lên Ủy ban Chứng khoán và Giao dịch Mỹ rằng họ "rất thất vọng" với quyết định của ICO và cho biết sẽ "bắt đầu biện hộ". Marriott nhấn mạnh rằng hệ thống đặt phòng Starwood đã bị xâm phạm trong vụ vi phạm dữ liệu không còn hoạt động thương mại.

Sau khi nhận được phản hồi từ Marriott, ICO đã công nhận trong tuyên bố vào ngày 30/10 rằng Marriott nhanh chóng xử lý và khắc phục hậu quả để giảm thiểu hại cho khách hàng, cũng như áp dụng các biện pháp cải thiện hệ thống bảo mật. Ngoài ra, do ảnh hưởng từ đại dịch đến tình hình kinh doanh chung, cuối cùng họ quyết định phạt 18,4 triệu bảng Anh.

ICO cũng đề cập rằng vì sự cố này xảy ra trước Brexit (sự kiện Vương quốc Anh rút khỏi EU) nên ICO đóng vai trò là cơ quan giám sát chính để điều tra thay mặt cho tất cả cơ quan có thẩm quyền của EU và được các cơ quan bảo vệ dữ liệu quốc gia của EU chấp thuận.

 

Marriott phải đối mặt với nhiều vụ kiện tập thể

Marriott không phải là trường hợp đầu tiên lọt tầm ngắm của ICO. Ngày 16/10, Văn phòng Ủy viên Thông tin Vương quốc Anh vừa công bố mức phạt cao nhất sau khi GDPR có hiệu lực đối với British Airways khi tên, địa chỉ, số thẻ ngân hàng, mã CVV cùng thông tin cá nhân của 420.000 khách hàng và nhân viên British Airways bị lộ. ICO cho rằng những biện pháp bảo vệ mong manh của British Airways là nguyên nhân quan trọng dẫn đến sự cố này và đưa ra mức phạt 20 triệu bảng Anh.

Tương tự như Marriott, trong thông báo ban đầu về ý định phạt do ICO đưa ra, khoản tiền phạt là 183 triệu bảng Anh, chiếm khoảng 1,5% doanh thu năm 2018 của British Airways. Sau đó, ICO tuyên bố rằng giảm tiền phạt vì tính đến tác động kinh tế của British Airways do dịch bệnh.

Một số người tin rằng động thái này làm nổi bật tác động của đại dịch đối với việc giám sát. Về khoản tiền phạt của British Airways, do các công ty liên quan đang gặp khó khăn, cơ quan quản lý chọn áp dụng một thái độ ít cứng rắn hơn về hình phạt tài chính. Đối với Marriott, công ty có số lượng người lớn hơn và chuỗi công nghiệp toàn cầu, rắc rối mà họ phải đối mặt có thể còn nhiều hơn cả tiền phạt ICO.

Sau khi vụ việc xảy ra, Cục Điều tra Liên bang Mỹ đã bày tỏ sự quan tâm sâu sát, và tổng chưởng lý của New York, Massachusetts, Maryland và Illinois cũng bắt đầu điều tra sự việc. Chỉ tính riêng trong năm 2018, các cá nhân và công ty luật đã đệ đơn ít nhất hai vụ kiện tập thể chống lại Marriott, yêu cầu bồi thường hàng chục tỷ USD.

Theo thống kê chưa đầy đủ, tính đến thời điểm hiện tại, Marriott đã phải đối mặt với các vụ kiện ở Mỹ, Canada và những nơi khác vì vụ rò rỉ thông tin này. Trong nửa đầu năm 2019, một thẩm phán ở Mỹ đã hợp nhất 11 vụ kiện tập thể thành một. Vào tháng 2 năm nay, một thẩm phán ra phán quyết rằng vụ kiện chống lại Marriott nên tiếp tục.

Tuy nhiên, trong lịch sử, loại vụ kiện tập thể này thường mất vài năm để bước vào giai đoạn xét xử và hầu hết các trường hợp đều đạt được thỏa thuận.

Phong Vũ

Điều gì ẩn sau công cụ tìm kiếm tự phát triển của Apple?

Điều gì ẩn sau công cụ tìm kiếm tự phát triển của Apple?

Hiện tại, khi người dùng iPhone sử dụng iOS 14 gõ truy vấn vào cửa sổ tìm kiếm, Apple sẽ hiển thị kết quả tìm kiếm của chính mình thay vì kết quả tìm kiếm của Google.

 
List comment
 
Hợp tác phát triển giải pháp ký số di động “Make in Vietnam”
icon

Câu lạc bộ chữ ký số và giao dịch điện tử Việt Nam vừa ký kết hợp tác với 2 đơn vị là đại diện của các hãng phần cứng bảo mật lớn trên thế giới để cùng phát triển giải pháp ký số di động “Make in Vietnam”.

 
Thứ hạng an toàn website của Việt Nam cải thiện đáng kể trong 3 quý đầu năm 2020
icon

Theo hệ thống bản đồ tấn công website toàn cầu của CyStack, trong 9 tháng đầu năm nay, Việt Nam đã cải thiện đáng kể tình hình an ninh website so với năm ngoái. Cụ thể, số cuộc tấn công trong 3 quý đầu năm 2020 giảm tới 64,8%.

 
Google vá lỗ hổng zero-day trên Chrome lần thứ hai trong hai tuần
icon

Hiện tại, phiên bản Google Chrome 86.0.4240.183 đã có sẵn để tải về. Nó vá 10 lỗ hổng bảo mật, trong đó có một lỗ hổng zero-day đang được khai thác.  

 
Gần 4.200 sự cố tấn công mạng vào Việt Nam được hỗ trợ xử lý trong 10 tháng
icon

Trong 10 tháng đầu năm 2020, Trung tâm Giám sát an toàn không gian mạng quốc gia đã ghi nhận, cảnh báo và hướng dẫn xử lý 4.161 sự cố tấn công mạng vào các hệ thống thông tin tại Việt Nam.

 
Trung tâm điều hành thông minh các tỉnh tăng cường giám sát an toàn thông tin
icon

Hệ thống điều hành thông minh ở Quảng Nam, Kiên Giang hay Ninh Thuận đều rất chú trọng đến chức năng giám sát an toàn thông tin. 

 
 
Công bố 10 đội Việt Nam vào vòng cuối cuộc thi Sinh viên với ATTT ASEAN 2020
icon

Danh sách 10 đội sinh viên Việt Nam xuất sắc nhất vòng Sơ khảo, giành quyền vào thi chung khảo cuộc thi “Sinh viên với An toàn thông tin (ATTT) ASEAN 2020” cùng 6 đội của các nước ASEAN khác vừa được Ban tổ chức công bố.

Tìm kiếm các nhân tài sẽ phát triển thêm nhiều sản phẩm ATTT “Make in Vietnam”
icon

Chủ tịch VNISA Nguyễn Thành Hưng mong rằng cuộc thi sinh viên với an toàn thông tin tìm được nhiều nhân tài, để không chỉ bảo đảm tốt an toàn thông tin mà sau này sẽ là những chủ nhân tạo ra nhiều sản phẩm “Make in Vietnam”.

Tọa đàm trực tuyến: “Giải pháp nào nâng cao chỉ số an toàn, an ninh mạng của Việt Nam?”
icon

Chiều nay 30/10, ICTnews - Chuyên trang của Báo VietNamNet phối hợp với Cục An toàn thông tin (ATTT), Bộ TT&TT tổ chức buổi tọa đàm trực tuyến với chủ đề “Giải pháp nào nâng cao chỉ số an toàn, an ninh mạng của Việt Nam?”.

Lạng Sơn tập huấn công tác quản lý và sử dụng chứng thư số
icon

Sở TT&TT Lạng Sơn vừa tổ chức hội nghị tập huấn công tác quản lý và sử dụng chứng thư số, chữ ký số chuyên dùng cho 120 lãnh đạo và cán bộ nhiều đơn vị trong tỉnh.

Sản phẩm dự báo tấn công mạng dần trở thành thiết yếu
icon

Tổ chức, doanh nghiệp cần công cụ như CyRadar hay DeCYFIR để có thể phát hiện ra các mối đe dọa tấn công mạng đang phát triển, giải mã và tách biệt thông tin có giá trị ra khỏi lượng dữ liệu khổng lồ có sẵn.

 
123

Giấy phép hoạt động báo chí: Số 09/GP-BTTTT, Bộ Thông tin và Truyền thông cấp ngày 07/01/2019.

Tòa soạn: Tầng 7, Tòa nhà Cục Tần số Vô tuyến điện, 115 Trần Duy Hưng, Quận Cầu Giấy, Hà Nội

Điện thoại: 024 3 936 9966 - Fax: 024 3 936 9364

Hotline nội dung: 0888 911 911 - Email: toasoan@ictnews.vn

123