La cadena de hoteles Marriott es hackeada por sexta vez. ¿El lugar más cómodo para vacacionar o para ser hackeado?

Marriott Hotels ha vuelto a filtrar datos y esta vez los culpables se llevaron 20 GB de información, que supuestamente incluía información de tarjetas de crédito y documentos internos de la empresa. 

El grupo no identificado detrás del ataque se puso en contacto para compartir la noticia de que hackearon en un servidor en el hotel Marriott en el Aeropuerto Internacional de Boston/Washington en Maryland a fines del mes pasado.

Se dice que el incidente, informado por primera vez por Databreaches.net, ocurrió en junio cuando un grupo de ciberdelincuentes no identificado afirmó que utilizó ingeniería social para engañar a un empleado de un hotel Marriott de Maryland para que les diera acceso a su computadora.

“Marriott International tiene conocimiento de un actor de amenazas que usó ingeniería social para engañar a un asociado en un solo hotel Marriott para que le diera acceso a la computadora del asociado”, dijo Melissa Froehlich Flood, portavoz de Marriott. “El actor de amenazas no obtuvo acceso a la red central de Marriott”.

El grupo que se responsabiliza por el ataque dice que los datos robados incluyen información de la tarjeta de crédito de los huéspedes e información confidencial sobre huéspedes y empleados.

La cadena hotelera reconoció que, si bien la mayoría de los datos adquiridos por el actor de amenazas eran lo que Marriott describió como archivos comerciales internos no confidenciales, notificarán a aproximadamente 300-400 personas y a los reguladores. No proporcionaron una explicación completa sobre qué tipo de información personal se filtró. Según los informes, se notificó a la policía y Marriott afirma que están apoyando esa investigación.

El actor de amenazas comentó sobre la seguridad de Marriott:

Su seguridad es muy pobre, no hubo problemas para tomar sus datos. Al menos no tuvimos acceso a toda la base de datos, pero incluso la parte que tomamos estaba llena de datos críticos.

El actor de amenazas mencionó que hackearon la información personal de los huéspedes y empleados. Proporcionaron muestras de 20 GB de archivos que habían exfiltrado.

Varios de los archivos de la muestra eran, de hecho, documentos comerciales internos con información confidencial y patentada, como por ejemplo, cómo acceder a una plataforma de programación y gestión laboral. A partir de las fechas en los archivos, es posible que algunos de estos manuales y auditorías ya no sean aplicables en la actualidad. Además de los documentos comerciales internos, otros documentos incluían información sobre los huéspedes y empleados del hotel. Número de documentos eran donde las aerolíneas hicieron reservas para que sus tripulaciones de vuelo se quedaran en el hotel. Los formularios incluían los nombres de los miembros de la tripulación, en qué número de vuelo llegaron, en qué número de vuelo  y su número de habitación. Los documentos también incluyen números de tarjetas de crédito corporativas de la aerolínea o agencia de viajes que realiza los arreglos de los huéspedes.

Esta no es la primera vez que Marriott sufre una filtración importante de datos. 

  • En septiembre de 2010, HEI Hotels & Resorts reveló una infracción. Esas propiedades incluían varios hoteles de la marca Marriott.
  • En abril de 2011, programa Marriott Rewards, lo que involucró al proveedor de Marriott, Epsilon.
  • Una filtración de 2014 en Starwood que ni Starwood ni Marriott sabían cuando Marriott adquirió Starwood en 2016 se informó por primera vez en noviembre de 2018. Marriott reveló que la filtración afectó a casi 500 millones de huéspedes, un número que finalmente reestimaron en 383 millones o menos.
  • En octubre de 2019, Marriott anunció que una brecha en un proveedor anónimo había afectado a algunos de sus asociados.
  • En marzo de 2020, Marriott tuvo que notificar a 5,2 millones de huéspedes cuya información personal fue violada.
  • Y ahora, en 2022, un actor de amenazas hackeó BWIA Marriott.