Al op 8 september ging er bij Marriott een alarmbel af toen het met behulp van interne securitytools leerde dat een onbekende partij toegang probeerde te krijgen tot de reservatiedatabase. Dat meldt het bedrijf zelf in een email aan gasten die ook Data News ontving.

Tijdens onderzoek naar dat incident leerde het bedrijf dat er al sinds 2014 ongeoorloofde toegang was tot het netwerk van Starwood, de dochter van Marriott. Daarbij hebben de hackers bepaalde informatie gekopieerd en geëncrypteerd.

Mariott zegt dat het pas tegen 19 november die geëncrypteerde informatie weer kon decrypteren en toen ontdekte dat het om gegevens uit de reservatiedatabank ging. Het duurde nog minstens 11 dagen, vanaf 30 november, vooraleer het bedrijf ook klanten begon te informeren. Al kregen de meesten pas in de dagen nadien een waarschuwing.

Kredietkaartgegevens

De rest van het verhaal is intussen bekend: de databank die hackers met zekerheid hebben gekopieerd bevat informatie van 500 miljoen gasten. Voor 327 miljoen van hen gaat het om een combinatie van naam, mail- en fysiek adres, telefoonnummer, geslacht, geboortedatum, paspoortnummer, aankomst- en vertrekinformatie, Starwoord Preferred Guest accountinformatie, communicatievoorkeuren en in sommige gevallen betaalinformatie.

Van hoeveel klanten er betaalgegevens zijn gestolen is niet bekend, maar Marriott zegt wel dat de kredietkaartnummers en hun vervaldatum nog bijkomend zijn versleuteld met AES-128 encryptie waarvoor twee componenten nodig zijn om ze te ontcijferen. Alleen weet de hotelketen (nog) niet of die ook gestolen zijn.

Kredietkaartmonitoring niet voor Belgen

Marriott heeft een callcenter opgezet voor vragen, al geeft die voor Belgische klanten weinig antwoorden. Zo is er via het Belgisch telefoonnummer enkel Franstalige bijstand beschikbaar. We worden vervolgens doorverwezen naar het Britse contactcenter. Daar leren we dat slachtoffers ook apart zullen geïnformeerd worden als zou blijken dat hun kredietkaartinfo ook gestolen werd.

Ook biedt Mariott getroffen klanten een jaar lang gratis WebWatcher aan, een monitoringdienst die waarschuwt wanneer je persoonlijke gegevens online opduiken. Al is dat enkel voor Amerikaanse, Canadese en Britse klanten. Wanneer we vragen of er ook enige service naar Europese klanten is, of wat te doen als gegevens van klanten worden misbruikt, worden we doorverwezen naar 'de Belgische afdeling'. Maar het nummer dat onze redactie doorkreeg, blijkt het nummer van de Gegevensbeschermingsautoriteit te zijn.