Anh phạt chuỗi khách sạn Marriott 18,4 triệu bảng vì để lộ dữ liệu khách hàng

Văn phòng Ủy viên Thông tin (ICO) đã phạt Marriott 18,4 triệu bảng Anh vì xâm phạm dữ liệu năm 2014, giảm đáng kể so với mức phạt dự kiến ban đầu do ảnh hưởng của COVID-19.

Tập đoàn khách sạn Marriot bị xâm phạm dữ liệu vào năm 2014 ảnh hưởng đến chuỗi khu nghỉ dưỡng Starwood, được Marriott mua lại vào năm 2015.

Vào thời điểm đó, các tác nhân đe dọa có thể xâm nhập vào hệ thống Starwood và thực thi phần mềm độc hại, bao gồm các công cụ truy cập từ xa và phần mềm thu thập thông tin đăng nhập.

Những kẻ tấn công sau đó có thể nhập cơ sở dữ liệu được sử dụng để lưu trữ dữ liệu đặt phòng của khách bao gồm tên, địa chỉ email, số điện thoại, số hộ chiếu, chi tiết du lịch và các thông tin chương trình khách hàng thân thiết.

Vụ xâm phạm dữ liệu này đã tiếp tục cho đến năm 2018, và trong suốt 4 năm, thông tin của khoảng 339 triệu khách đã bị đánh cắp. Tổng cộng, 7 triệu hồ sơ liên quan đến khách của Vương quốc Anh đã bị lộ lọt.

ICO cho biết công ty Marriot không đáp ứng được các tiêu chuẩn bảo mật theo yêu cầu của GDPR do không "đưa ra các biện pháp tổ chức hoặc kỹ thuật phù hợp" khi xử lý dữ liệu và do đó, công ty đã vi phạm các yêu cầu bảo vệ dữ liệu hiện được thực thi thông qua các quy định GDPR năm 2018.

Tuy nhiên, cơ quan giám sát thừa nhận rằng "Marriott đã hành động kịp thời để liên hệ với khách hàng và ICO" sau khi sự cố an ninh mạng bị phanh phui và "hành động nhanh chóng để giảm thiểu rủi ro thiệt hại mà khách hàng phải gánh chịu."

Chuỗi khách sạn, cùng với các đối thủ như Hilton, đã buộc phải cắt giảm hàng nghìn việc làm khi các kế hoạch du lịch, công tác và kỳ nghỉ bị hủy bỏ do đại dịch Covid-19. Sau khi báo cáo khoản lỗ hàng quý đầu tiên trong gần một thập kỷ, công ty cho biết dự kiến sẽ tổn thất 85 triệu USD/tháng trong năm 2020.

Do những khó khăn hiện tại của Marriott và với những cải tiến bảo mật gần đây của công ty, ICO vẫn tiến hành phạt - nhưng khoản phạt đã được cắt giảm đáng kể so với mức phạt đề xuất ban đầu là hơn 99 triệu bảng Anh.

Thông báo ban đầu về dự kiến mức phạt tiền, được ban hành vào tháng 7/2019 với mức 99.200.396 bảng cho các vi phạm GDPR. Tuy nhiên, ICO nói rằng các cuộc đàm phán với Marriot, cải tiến bảo mật và thiệt hại kinh tế do COVID-19 gây ra đã dẫn đến con số đã được điều chỉnh.

"Hàng triệu dữ liệu của mọi người đã bị ảnh hưởng bởi lỗi sự cố của Marriott; hàng nghìn người đã liên hệ với đường dây trợ giúp và những người khác có thể đã phải thực hiện hành động để bảo vệ dữ liệu cá nhân của họ vì công ty mà họ tin tưởng đã không thể", Elizabeth Denham, Ủy viên Thông tin Vương quốc Anh, nhận xét.

"Khi một doanh nghiệp không thể chăm sóc dữ liệu của khách hàng, tác động không chỉ là một khoản tiền phạt có thể xảy ra, điều quan trọng nhất là doanh nghiệp có nhiệm vụ bảo vệ dữ liệu của người dùng".

Theo Bloomberg, các khách sạn là thiên đường đối với giới tội phạm bởi hệ thống rất dễ để xâm nhập. Bên cạnh đó, những người đảm trách hệ thống thông tin của các khách sạn nhiều khi không có xuất phát điểm từ một vị trí kỹ thuật. Họ có thể có hiểu biết sâu hơn về cách hoạt động của các khách sạn, tuy nhiên lại kém hơn nhiều về mảng kỹ thuật so với một kỹ sư phần mềm.

Để tạo sự thuận tiện cho khách nghỉ, nhiều khách sạn thậm chí không đặt mật khẩu cho mạng WiFi của mình. Người dùng đơn giản chỉ cần nhập đúng số phòng sẽ có thể kết nối ngay tới hệ thống của khách sạn.

Ở góc nhìn của các tin tặc, chúng có thể lựa chọn nạn nhân mục tiêu từ hồ sơ đặt phòng của khách sạn, kết hợp cùng các thông tin cá nhân lấy từ những người sử dụng mạng WiFi không an toàn. Không chỉ có các tin tặc, hệ thống thông tin của các khách sạn cũng là miếng mồi béo bở đối với các tổ chức tình báo. Trước Marriott, chuỗi khách Hilton, InterContinental cũng đã bị tấn công mạng.

Trong một thử nghiệm từng được chia sẻ với Bloomberg, một nhóm tin tặc "mũ trắng" đã truy cập vào hệ thống quản lý của khách sạn bằng cách cắm cáp Internet từ TV sang máy tính của mình.

Khi truy cập thành công vào hệ thống, họ dễ dàng tiếp cận được với thông tin thẻ tín dụng của những vị khách đặt phòng khách sạn trong vài năm trở lại đây. Nếu là kẻ gian, họ có thể đem bán các thông tin này lên thị trường chợ đen, nơi mà mỗi chiếc thẻ VISA giới hạn tín dụng cao có thể dễ dàng đổi được một khoản tiền lên tới 20 USD.

Không chỉ khách sạn bị phạt

Cũng tại Anh, tháng trước, hãng hàng không Anh British Airways đã bị ICO phạt 20 triệu bảng Anh sau khi các cuộc tấn công mạng đánh cắp thông tin của hơn 400.000 khách hàng vào năm 2018.

Cơ quan giám sát dữ liệu và quyền riêng tư Vương quốc Anh đã chỉ trích hãng hàng không Anh vì các lỗi bảo mật "không thể chấp nhận được" dẫn đến vụ việc xâm phạm dữ liệu, bao gồm thiếu kiểm tra an ninh mạng, kiểm soát truy cập lỏng lẻo và ít sử dụng xác thực hai yếu tố (two-factor authentication - 2FA).

Đây là một trong những mức phạt cao nhất mà ICO đã ban hành cho đến nay. Tuy nhiên, tình hình có thể còn tồi tệ hơn nhiều. Con số 20 triệu bảng Anh được tính toán dựa trên những cải tiến bảo mật "đáng kể" của hãng hàng không Anh và tác động của hoạt động kinh doanh do COVID-19 gây ra.