Gegevens lek en aandelen gekelderd na hack bij Marriott

Hotelketen Marriott heeft onlangs de persoonsgegevens van mogelijk 500 miljoen gasten bekend gemaakt omwille van een datalek na een hack. Financieel nieuwsagentschap Bloomberg noemt de hack “het op een na grootste lek van persoonsgegevens ooit”.

Naast de namen, geboortedata, telefoonnummers, e-mailadressen en paspoortnummers van de gasten konden de gelekte gegevens ook nummers van betaalkaarten en vervaldata van betaalkaarten bevatten. De New Yorkse openbare aanklager heeft aangekondigd een onderzoek te beginnen naar het datalek bij hoteluitbater Marriott International.

Gevarenzone: niet aan meldplicht voldaan

De hotelketen zou nagelaten hebben om de autoriteiten tijdig te verwittigen over het datalek. Onderzoek heeft namelijk uitgewezen dat er al sinds 2014 (!!!) sprake was van ongeautoriseerde toegang tot het netwerk en dat Marriott hier eerder dit najaar al melding van kreeg van een intern beveiligingsprogramma.

Een woordvoerder van de Autoriteit Persoonsgegevens legt uit: “Begin september ontdekte Marriott dat gegevens in de Amerikaanse Starwood-reserveringsdatabase al jaren toegankelijk waren. Een deel van de gegevens was door een externe partij versleuteld en gekopieerd, en stond op het punt te worden verwijderd. Zo’n grote dataset is erg interessant voor personen met slechte bedoelingen zoals hackers. Op de zwarte markt worden die grote gegevenssets verhandeld waarna er phisingmails verzonden worden naar klanten. Ook kan er identiteitsfraude mee gepleegd worden.”

Marriott heeft ondertussen een speciale website in het leven geroepen voor vragen van klanten. Zij kunnen zich een jaar gratis inschrijven op een dienst die bijhoudt of hun gelekte gegevens op verdachte plekken opduiken.

Aandelen gekelderd en boete boven het hoofd

In het kader van de GDPR kan het datalek erg grote gevolgen hebben voor hotelketen Marriott. De gebrekkige beveiliging, het niet melden van een bekend datalek, en het niet tijdig reageren op de notificatie van het interne beveiligingsprogramma wegen natuurlijk door. De koers van het aandeel van de hotelgroep nam vrijdagmiddag bovendien een duik in de premarketing, voor de opening van de beurs op Wall Street.

Marriott stock drop after databreach

Hoe komt een datalek tot stand?

Maar hoe kan een datalek van deze omvang nu eigenlijk tot stand komen? Zeker in zo’n grote hotelketen waarvan we verwachten dat ze zeer strenge beveiligingsmaatregelen nemen. We legden de vraag voor aan databeveiligingsexpert Danny Daniëls, tevens gecertificeerd DPO bij Datalink. Hij licht toe:

“Net zoals er bij een woning verschillende manieren zijn om in te breken, is dit ook zo in je bedrijfsnetwerk. Inbrekers kunnen je woning bijvoorbeeld betreden via een openstaand venster, de deur forceren of vermomd aanbellen om zo toegang tot de woning en je kostbaarheden te bekomen. Ook bij Marriott kunnen we de oorzaak op verschillende plaatsen zoeken: het is bijvoorbeeld mogelijk dat de code van hun softwaretool verouderd was en niet tijdig geüpdatet werd of er kon een SQL-injectie plaatsvinden door een fout in de programmatie. Een derde mogelijkheid is dat de server zelf onvoldoende beveiligd of bijgewerkt was. Tenslotte is het ook mogelijk dat een medewerker, bewust of onbewust, ongeoorloofde toegang heeft verleend tot de kostbare data. We spreken dan van social engineering waarbij de hacker de zwakste schakel in de computerbeveiliging, namelijk de mens, zover tracht te krijgen om toegang te verlenen.”

Hoe datalekken vermijden?

Je wil natuurlijk graag je kostbare data beschermen omdat o.a. je klantenportefeuille behoorlijk wat waarde heeft. Daarnaast heeft ook de GDPR vergaande gevolgen voor bedrijven die nalatig zijn geweest met databeveiliging. Daarom zetten we een aantal quick wins op een rij:

  • Bespaar niet op je IT want performante technologie is een belangrijke succesfactor in het dagdagelijkse ondernemerschap. Veel ondernemingen kiezen vandaag de dag voor “managed IT” waarbij een meedenkende IT partner proactief monitort en ontzorgt.
  • Daarnaast dienen je technologische hulpbronnen een passend beschermingsniveau te waarborgen. Om hier een klare kijk op te krijgen, kan je een IT Audit laten uitvoeren waarbij veiligheidsexperts en DPO’s onderzoeken waar de pain points zitten en jouw data dus risico loopt.
  • Periodieke security check-ups en back-ups op een externe locatie zijn cruciaal voor de integriteit van je gegevens.
  • Helaas vergeten veel ondernemingen het belang van tijdig onderhoud voor hun website, applicatie of IT infrastructuur. Dit kan vergaande gevolgen hebben voor de veiligheid van je data en aan de oorzaak liggen van een mega-datalek.

De kans is groot dat de oorzaak van het datalek bij Marriott bij één van de bovenstaande punten te zoeken is. Wij zijn van mening dat de rol van IT-bedrijven vandaag de dag sterk veranderd is. Kies je IT partners vandaag niet meer in functie van een rol als “leverancier” waarbij er louter reactief gewerkt wordt, maar ga voor een strategisch partnership waarbij je IT proactief voor je gemanaged en gemonitord wordt.

Een gewaarschuwd mens is er twee waard 😉

Is jouw firma beschermd tegen datalekken? Schakel onze IT beveiligingsexperts en DPO’s in, en we onderzoeken het graag tijdens een IT Audit. Interesse in een volledige GDPR compliancy check-up? Dan brengen wij graag gespecialiseerde advocaten ondernemersrecht mee die ook de contractuele vereisten voor je checken.

Vraag direct inlichtingen voor een IT Audit of GDPR Audit aan!

Interessante bron? Deel deze pagina met je netwerk!