Uma violação massiva de banco de dados foi relatado por Marriott Hotels and Resorts em sua marca Starwood em 30 de novembro. Nesse ínterim, os procedimentos da Marriott Security estiveram sob os holofotes globais, resultando em várias ações legais e criminais tomadas por autoridades em todo o mundo contra a maior rede de hotéis do mundo. Um pesadelo de relações públicas foi se desenrolando para Marriott, resultando em deixar a marca sem palavras ao evitar respostas à mídia.
Hoje, a Marriott informou todas as potenciais vítimas e hóspedes do hotel sobre esse crime do que eles chamam de “incidente de segurança”. O e-mail explica às potenciais vítimas de crime, clientes Marriott com registro na rede Starwood Hotels and Resort:
Em 8 de setembro de 2018, a Marriott recebeu um alerta de uma ferramenta de segurança interna sobre uma tentativa de acessar o banco de dados de reservas de hóspedes Starwood. A Marriott envolveu rapidamente os principais especialistas em segurança para ajudar a determinar o que ocorreu. A Marriott soube durante a investigação que havia acesso não autorizado à rede Starwood desde 2014. A Marriott descobriu recentemente que uma parte não autorizada havia copiado e criptografado informações e tomou medidas para removê-las. Em 19 de novembro de 2018, a Marriott conseguiu descriptografar as informações e determinou que o conteúdo era do banco de dados de reservas de hóspedes da Starwood.
O Marriott não terminou de identificar informações duplicadas no banco de dados, mas acredita que ele contém informações sobre até aproximadamente 500 milhões de hóspedes que fizeram uma reserva em um estabelecimento Starwood. Para aproximadamente 327 milhões desses hóspedes, as informações incluem alguma combinação de nome, endereço de correspondência, número de telefone, endereço de e-mail, número do passaporte, informações da conta Starwood Preferred Guest ("SPG"), data de nascimento, sexo, informações de chegada e partida, data de reserva e preferências de comunicação. Para alguns, as informações também incluem números de cartão de pagamento e datas de expiração de cartão de pagamento, mas os números de cartão de pagamento foram criptografados usando criptografia Advanced Encryption Standard (AES-128). Há dois componentes necessários para descriptografar os números de cartão de pagamento e, neste ponto, a Marriott não foi capaz de descartar a possibilidade de que ambos tenham sido usados. Para os hóspedes restantes, as informações se limitaram ao nome e, às vezes, a outros dados, como endereço para correspondência, endereço de e-mail ou outras informações.
A Marriott relatou esse incidente às autoridades policiais e continua apoiando a investigação. A empresa também está notificando as autoridades regulatórias.
Marriott lamenta profundamente que este incidente tenha acontecido. Desde o início, agimos rapidamente para conter o incidente e conduzir uma investigação completa com a ajuda dos principais especialistas em segurança. A Marriott está trabalhando muito para garantir que nossos hóspedes tenham respostas às perguntas sobre suas informações pessoais com um site dedicado e central de atendimento. Estamos apoiando os esforços da aplicação da lei e trabalhando com os principais especialistas em segurança para melhorar. A Marriott também está dedicando os recursos necessários para descontinuar os sistemas Starwood e acelerar os aprimoramentos contínuos de segurança em nossa rede.
A Marriott tomou as seguintes medidas para ajudá-lo a monitorar e proteger suas informações:
Call Center dedicado
A Marriott estabeleceu uma central de atendimento dedicada para responder a perguntas que você possa ter sobre este incidente. O call center está disponível em vários idiomas. Nossa central de atendimento dedicada pode apresentar alto volume inicialmente e agradecemos sua paciência. Por favor, verifique info.starwoodhotels.com para quaisquer atualizações de nossos dados de contato do call center. Os detalhes de contato da central de atendimento são:
País | Telefone | hora e dias | ||
Australia | 1-800-270-917 | 24 Horas | Seg - dom | |
Áustria | 0800-281462 | 0900h2100 - XNUMXhXNUMX CET | Seg - dom | |
Bélgica | 0800-708-43 | 0900h2100 - XNUMXhXNUMX CET | Seg - dom | |
Brazil | 0-800-724-8312 | 0900:2100 - XNUMX Brasília ST | Seg - dom | |
Localização: Canadá | 877-273-9481 | 0900-2100 EST | Seg - dom | |
China | 4001839188 | 0900 - 1800 China ST | Seg - dom | |
China | +86 20 38157000 | 0900 - 1800 China ST | Seg - dom | |
França | 0805-080216 | 0900h2100 - XNUMXhXNUMX CET | Seg - dom | |
Alemanha | 0800-180-1978 | 0900h2100 - XNUMXhXNUMX CET | Seg - dom | |
Índia | 000-800-050-1531 | 24 Horas | Seg - dom | |
Itália | 800-728-023 | 0900h2100 - XNUMXhXNUMX CET | Seg - dom | |
Japão | 0120901011 | 0900 - 1800 Japão ST | XNUMXa. A XNUMXa | |
Japão | +81 3 5423 6539 | 0900 - 1800 Japão ST | XNUMXa. A XNUMXa | |
Nova Zelândia | 0800-359805 | 24 Horas | Seg - dom | |
México | 01-800-099-0742 | 0900h2100 - XNUMXhXNUMX EST | Seg - dom | |
Rússia | 8-800-100-6925 | 0900h2100 - XNUMXhXNUMX Moscou | Seg - dom | |
Singapore | 800-492-2405 | 24 Horas | Seg - dom | |
Coreia do Sul | 007988171758 | 0900h1800 - XNUMXhXNUMX Coreia ST | XNUMXa. A XNUMXa | |
Coreia do Sul | +81 3 4334 2202 | 0900h1800 - XNUMXhXNUMX Coreia ST | XNUMXa. A XNUMXa | |
Espanha | 900-905407 | 0900h2100 - XNUMXhXNUMX CET | Seg - dom | |
Suíça | 0800-561-876 | 0900h2100 - XNUMXhXNUMX CET | Seg - dom | |
Emirados Árabes Unidos | 8000-3201-34 | 0900:2100 - XNUMX Golfo | Seg - dom | |
UK | 0-808-189-1065 | 0800:2000 - XNUMX GMT | Seg - dom | |
Estados Unidos | 877-273-9481 | 0900h2100 - XNUMXhXNUMX EST | Seg - dom |
A Marriott começou a enviar e-mails em uma base contínua em 30 de novembro de 2018 para os hóspedes afetados cujos endereços de e-mail estão no banco de dados de reservas de hóspedes da Starwood.
A Marriott está oferecendo aos hóspedes a oportunidade de se inscrever no WebWatcher gratuitamente por um ano. O WebWatcher monitora sites da Internet onde informações pessoais são compartilhadas e gera um alerta para o consumidor se evidências de informações pessoais do consumidor forem encontradas. Devido a regulamentações e outras razões, o WebWatcher ou produtos semelhantes não estão disponíveis em todos os países. Os hóspedes dos Estados Unidos que concluírem o processo de inscrição do WebWatcher também receberão serviços de consultoria contra fraudes e cobertura de reembolso gratuitamente.
A seção abaixo fornece informações adicionais sobre as etapas que você pode seguir. Se você tiver dúvidas sobre esta notificação e para se inscrever no WebWatcher (se estiver disponível em seu país / região), visite info.starwoodhotels.com.
As marcas Starwood incluem: W Hotels, St. Regis, Sheraton Hotels & Resorts, Westin Hotels & Resorts, Element Hotels, Aloft Hotels, The Luxury Collection, Tribute Portfolio, Le Méridien Hotels & Resorts, Four Points by Sheraton e Design Hotels. As propriedades de timeshare da marca Starwood (Sheraton Vacation Club, Westin Vacation Club, The Luxury Collection Residence Club, St. Regis Residence Club e Vistana) também estão incluídas.
Independentemente de onde você resida, abaixo estão algumas etapas adicionais que você pode seguir.
Altere sua senha regularmente. Não use senhas facilmente adivinhadas. Não use as mesmas senhas para várias contas.
Revise os extratos de sua conta de cartão de pagamento em busca de atividades não autorizadas e denuncie imediatamente a atividade não autorizada ao banco que emitiu seu cartão.
Fique atento contra terceiros que tentam coletar informações por engano (comumente conhecido como “phishing”), inclusive por meio de links para sites falsos. A Marriott não solicitará que você forneça sua senha por telefone ou e-mail.
Se você acredita que foi vítima de roubo de identidade ou que seus dados pessoais foram mal utilizados, você deve entrar em contato imediatamente com as autoridades locais.
Lembramos que é sempre aconselhável estar atento a incidentes de fraude ou roubo de identidade, revisando seus extratos de conta e relatórios de crédito gratuitos para qualquer atividade não autorizada. Você pode obter uma cópia de seu relatório de crédito, gratuitamente, uma vez a cada 12 meses com cada uma das três empresas de relatório de crédito em todo o país. Para solicitar seu relatório de crédito anual gratuito, visite www.annualcreditreport.com ou ligue gratuitamente para 1-877-322-8228. As informações de contato das três empresas de relatórios de crédito em todo o país são as seguintes:
Equifax, Caixa Postal 740241, Atlanta, GA 30374, www.equifax.com, 1-800-685-1111 |
Experian, Caixa Postal 2002, Allen, TX 75013, www.experian.com, 1-888-397-3742 |
TransUnion, Caixa Postal 2000, Chester, PA 19016, www.transunion.com, 1-800-916-8800 |
Se você acredita que foi vítima de roubo de identidade ou tem motivos para acreditar que suas informações pessoais foram utilizadas indevidamente, você deve entrar em contato imediatamente com a Federal Trade Commission e / ou o escritório do procurador-geral de seu estado. Você pode obter informações dessas fontes sobre as etapas que um indivíduo pode realizar para evitar o roubo de identidade, bem como informações sobre alertas de fraude e congelamentos de segurança. Você também deve entrar em contato com as autoridades policiais locais e registrar um boletim de ocorrência. Obtenha uma cópia do relatório policial no caso de você ser solicitado a fornecer cópias aos credores para corrigir seus registros. As informações de contato da Federal Trade Commission são as seguintes:
Federal Trade Commission, Centro de Resposta ao Consumidor, 600 Pennsylvania Avenue, NW Washington, DC 20580, 1-877-IDTHEFT (438-4338), www.ftc.gov/idtheft
Se você é residente em Connecticut, Maryland, Massachusetts, Carolina do Norte ou Rhode Island, você pode entrar em contato e obter informações do procurador-geral do estado em: |
|
Se você é residente em Massachusetts ou Rhode Island, observe que, de acordo com as leis de Massachusetts ou Rhode Island, você tem o direito de arquivar e obter uma cópia de um relatório policial. Você também tem o direito de solicitar um congelamento de segurança. |
Se você é residente na Virgínia Ocidental, você tem o direito de solicitar que agências de relatório ao consumidor em todo o país incluam “alertas de fraude” em seu arquivo para permitir que credores em potencial e outras pessoas saibam que você pode ser vítima de roubo de identidade, conforme descrito abaixo. Você também tem o direito de colocar um congelamento de segurança em seu relatório de crédito, conforme descrito abaixo. |
Alertas de fraude: Existem dois tipos de alertas de fraude que você pode colocar em seu relatório de crédito para informar seus credores de que você pode ser vítima de fraude - um alerta inicial e um alerta estendido. Você pode solicitar que um alerta inicial de fraude seja colocado em seu relatório de crédito se suspeitar que foi, ou está prestes a ser, vítima de roubo de identidade. Um alerta inicial de fraude permanece em seu relatório de crédito por pelo menos 90 dias. Você pode ter um alerta estendido colocado em seu relatório de crédito se você já foi vítima de roubo de identidade com a prova documental adequada. Um alerta estendido de fraude permanece em seu relatório de crédito por sete anos. Você pode colocar um alerta de fraude em seu relatório de crédito entrando em contato com qualquer uma das três agências nacionais de relatório de crédito. |
Crédito congela: Você tem o direito de colocar um congelamento de crédito, também conhecido como congelamento de segurança, em seu arquivo de crédito, gratuitamente, de modo que nenhum novo crédito possa ser aberto em seu nome sem o uso de um número PIN que é emitido para você quando você inicia um congelamento. Um congelamento de segurança é projetado para evitar que potenciais concessores de crédito acessem seu relatório de crédito sem o seu consentimento. Se você colocar um congelamento de segurança, os credores em potencial e outros terceiros não poderão obter acesso ao seu relatório de crédito, a menos que você suspenda temporariamente o congelamento. Portanto, o uso de um congelamento de segurança pode atrasar sua capacidade de obter crédito.
Não há nenhuma taxa para colocar ou suspender um congelamento de segurança. Ao contrário de um alerta de fraude, você deve colocar separadamente um congelamento de segurança em seu arquivo de crédito em cada empresa de relatório de crédito. Para obter informações e instruções para colocar um congelamento de segurança, entre em contato com cada uma das agências de relatórios de crédito nos endereços abaixo: |
|
Para solicitar um congelamento de segurança, você precisará fornecer as seguintes informações: |
|
As agências de relatórios de crédito têm um dia útil após o recebimento de sua solicitação por telefone gratuito ou meio eletrônico seguro, ou três dias úteis após o recebimento de sua solicitação por correio, para colocar um congelamento de segurança em seu relatório de crédito. As agências de crédito também devem enviar uma confirmação por escrito para você no prazo de cinco dias úteis e fornecer um número de identificação pessoal exclusivo (“PIN”) ou senha ou ambos que podem ser usados por você para autorizar a remoção ou levantamento do congelamento de segurança.
Para suspender o congelamento de segurança a fim de permitir que uma entidade específica ou indivíduo tenha acesso ao seu relatório de crédito, ou para suspender um congelamento de segurança por um período de tempo especificado, você deve enviar uma solicitação por meio de um número de telefone gratuito, um meio eletrônico seguro mantido por uma agência de relatórios de crédito ou enviando uma solicitação por escrito por correio normal, certificado ou noturno para as agências de relatórios de crédito e inclua a identificação adequada (nome, endereço e número do Seguro Social) e o número PIN ou senha fornecida a você quando você colocou o congelamento de segurança, bem como a identidade das entidades ou indivíduos que gostaria de receber seu relatório de crédito ou o período específico de tempo em que deseja que o relatório de crédito esteja disponível. As agências de relatórios de crédito têm um dia útil após receber sua solicitação por telefone gratuito ou meio eletrônico seguro, ou três dias úteis após receber sua solicitação por correio, para suspender o congelamento de segurança para essas entidades identificadas ou pelo período de tempo especificado. Para remover o congelamento de segurança, você deve enviar uma solicitação por meio de um número de telefone gratuito, um meio eletrônico seguro mantido por uma agência de relatórios de crédito ou enviando uma solicitação por escrito por correio normal, certificado ou noturno para cada um dos três créditos escritórios e incluem a identificação adequada (nome, endereço e número do Seguro Social) e o número PIN ou senha fornecida a você quando você colocou o congelamento de segurança. As agências de crédito têm um dia útil após o recebimento do seu pedido por telefone gratuito ou meio eletrônico seguro, ou três dias úteis após o recebimento do seu pedido pelo correio, para remover o bloqueio de segurança. |
Fair Credit Reporting Act: Você também tem direitos de acordo com o Fair Credit Reporting Act federal, que promove a precisão, a justiça e a privacidade das informações nos arquivos das agências de relatórios ao consumidor. O FTC publicou uma lista dos direitos primários criados pela FCRA (https://www.consumer.ftc.gov/articles/pdf-0096-fair-credit-reporting-act.pdf), e esse artigo indica que os indivíduos que buscam mais informações devem visitar www.ftc.gov/credit. A lista de direitos FCRA da FTC inclui: |
|
Se você for um titular de dados da União Europeia, e você deseja reclamar com a autoridade de proteção de dados, você pode contatá-los em: |
|
Se você é um residente canadense, e você deseja reclamar com o seu comissário de privacidade, você pode contatá-los em: |
|
|