Sono state rubate\u00a0 informazioni personali di pi\u00f9 di 500 milioni di ospiti di Starwood Hotels in una violazione informatica che si \u00e8 protratta dal 2014 fino a settembre scorso. La Starwood Marriott International ha rivelato la violazione oggi con un annuncio che ha fornito alcuni dettagli, ma ha lasciato molte domande senza risposta.<\/p>\n
“Per circa 327 milioni di ospiti, le informazioni includono una combinazione di nome, indirizzo postale, numero di telefono, indirizzo e-mail, numero di passaporto, informazioni sul conto Starwood Preferred Guest (” SPG “), data di nascita, sesso, arrivo e partenza, data di prenotazione e preferenze di comunicazione<\/em> “, ha detto l’ufficio stampa Marriott.<\/p>\n La societ\u00e0 ha anche detto che per un numero non specificato di clienti, le informazioni accessibili includono i numeri delle carte di credito e le date di scadenza, sebbene tali informazioni fossero protette dalla crittografia AES-128. Questo confortante dettaglio \u00e8 stato un po’ attenuato dall’ammissione della compagnia che non pu\u00f2 escludere la possibilit\u00e0 che entrambe le chiavi necessarie per la decrittazione siano state prese nella violazione<\/strong>.<\/p>\n Tra le informazioni non divulgate o sconosciute \u00e8 proprio chi c’\u00e8 dietro la violazione e quanti dei record interessati sono stati venduti o usati dai criminali.<\/p>\n Marriott ha annunciato l’acquisto di Starwood a novembre 2015, con la chiusura dell’operazione a settembre 2016, circa due anni dopo l’inizio della violazione.<\/p>\n “Questo \u00e8 un altro esempio del perch\u00e9 \u00e8 fondamentale che le aziende eseguano la cyber due diligence prima di un’acquisizione o un investimento<\/em>“, afferma Jake Olcott, vicepresidente delle comunicazioni e degli affari governativi di BitSight<\/strong>. “Comprendere la sicurezza informatica di un investimento \u00e8 fondamentale per valutare il valore dell’investimento e considerare i danni di tipo reputazionale, finanziario e legale che potrebbero verificarsi all’azienda<\/em>“.<\/p>\n La quantit\u00e0 e la natura dei dati presi nella violazione potrebbero avere un impatto ben oltre le informazioni finanziarie vendute sul Dark Web. “I dati personali ottenuti in un furto informatico potrebbero essere incrociati con i dati ottenuti da un’altra violazione e altre violazioni del settore privato ampiamente pubblicizzate, e il furto di Marriott rende il loro compito molto pi\u00f9 facile e pi\u00f9 probabile che abbia successo<\/em>“, afferma Michael Magrath<\/strong>, direttore di regolamenti e standard globali presso OneSpan<\/strong>.<\/p>\n <\/p>\n E questa analisi di dati incrociata potrebbe avere implicazioni al di l\u00e0 del mondo degli affari. Secondo Michael Daly, CTO, cibersicurezza e missioni speciali, a Raytheon Intelligence, Information & Services: “Questo \u00e8 molto pi\u00f9 di una violazione dei dati dei consumatori. Quando si pensa a questo da un punto di vista dell’intelligence si stanno spiando i modelli di vita di leader politici e commerciali, compresi i viaggiatori con cui sono andati e dove e quando, \u00e8 una riunione di dati incredibilmente efficiente ed eleva questa violazione a un problema di sicurezza nazionale<\/em> “.<\/p>\n Mentre Marriott afferma di aver segnalato la violazione agli organismi preposti all’applicazione della legge e sta collaborando con le loro indagini, sembra probabile che ci saranno conseguenze legali per l’azienda. Negli Stati Uniti le azioni legali collettive sono quasi certe, e molti nella comunit\u00e0 economica internazionale guarderanno l’UE mentre iniziano le loro indagini su quella che potrebbe essere la prima grande prova delle sanzioni previste dal GDPR<\/strong>.<\/p>\n Le notifiche e-mail sono iniziate per i clienti interessati dal furto, comunica Marriott. Inoltre, la societ\u00e0 ha creato un sito Web informativo e offre ai clienti l’iscrizione gratuita a WebWatcher per un anno.<\/p>\n