La Marriott international, multinazionale americana, questa mattina ha ammesso di essere stata colpita da un attacco hacker che ha compromesso i dati di 500 milioni di clienti dei suoi hotel Starwood in tutto il mondo...
È incredibile come un titolo del genere possa essere considerato, ormai, quasi la normalità.
Uno dei sistemi di controllo interno ha identificato un possibile tentativo di accesso al sistema di prenotazione degli Starwood hotel lo scorso 8 settembre. Nelle indagini che sono seguite si è così scoperto che sin dal 2014 il sistema ha registrato degli accessi non autorizzati.
Ciò significa che per circa quattro anni potenzialmente sono stati rubati dati, sicuramente con scopo più o meno illecito!
Questa la dichiarazione della società, riportata da securityweek:
"For approximately 327 million of these guests, the information includes some combination of name, mailing address, phone number, email address, passport number, Starwood Preferred Guest (“SPG”) account information, date of birth, gender, arrival and departure information, reservation date, and communication preferences. For some, the information also includes payment card numbers and payment card expiration dates, but the payment card numbers were encrypted using Advanced Encryption Standard encryption (AES-128). There are two components needed to decrypt the payment card numbers, and at this point, Marriott has not been able to rule out the possibility that both were taken. For the remaining guests, the information was limited to name and sometimes other data such as mailing address, email address, or other information. Marriott reported this incident to law enforcement and continues to support their investigation."
Secondo quanto riportato nell'articolo, la questione non sarà assoggettata al GDPR in quanto ha avuto inizio nel 2014, quando ancora Marriott international non era proprietaria del gruppo Starwood, resta il fatto che la Marriott resta responsabile in quanto l'acquisizione è comunque avvenuta più di due anni fa.
Ora, posso immaginare che la Marriott investa nel settore sicurezza una parte cospicua dei suoi guadagni, posso anche supporre che il personale del settore sia esperto e che i sistemi impiegati rispettino le normative molto rigide americane, eppure anche loro sono stati colpiti.
Cosa si può dire allora di tutte quelle società medie e piccole italiane che non sanno neppure cosa sia la sicurezza informatica o che, pur sapendolo, si devono barcamenare cercando di portare a casa la giornata? Siamo sicuri che i nostri dati siano gestiti nel migliore dei modi anche dal supermercato sotto casa che, immancabilmente, ci ha fornito una tessera per la raccolta punti?
Io purtroppo sono scettico, per cui ogni volta che lascio i miei dati a qualcuno considero che andranno immancabilmente persi.
Che fare allora?
Ognuno può fare una libera scelta se è consapevole di ciò che sta facendo.
Io cerco di fornire meno dati possibile e solo quando realmente necessario... non sarà il massimo ma meglio che niente.
Comunque per tornare alla Marriott, come diretta conseguenza di quanto successo, le quotazioni della società hanno perso circa il 6% nelle prime ore di apertura della borsa.
Per approfondire:
- https://www.securityweek.com/marriott-hit-massive-data-breach-500-millio...
- https://www.independent.co.uk/life-style/gadgets-and-tech/news/marriott-...
