Marriott ha rivelato da pochi giorni che il suo database delle prenotazioni relativo alla catena di alberghi Starwood è stato oggetto di accesso non autorizzato e protratto sin dal lontano 2014. La portata della violazione dei dati è enorme, copre quasi cinque anni e circa 500 milioni di ospiti.

La società ha creato un sito Web (info.starwoodhotels.com) per gestire il databreach e la comunicazione verso i propri ospiti-vittima, responsabili solamente di aver effettuato una prenotazione in una delle numerose strutture del brand Starwood: Starwood, W Hotels, St. Regis, Sheraton Hotels & Resorts, Westin Hotels & Resorts, Element Hotels, Aloft Hotels, The Luxury Collection, Tribute Portfolio, Le Méridien Hotels & Resorts, Four Points by Sheraton ed infine Design Hotels.

Le informazioni compromesse dal databreach includono nominativi, indirizzo, numero di telefono, indirizzo email, numero di passaporto, informazioni sul conto Starwood, data di nascita, sesso, arrivo e partenza, data di prenotazione, preferenze di comunicazione, numeri di carte di pagamento e date di scadenza della carta di pagamento. Sebbene i numeri delle carte di pagamento fossero crittografati, i ladri potrebbero aver rubato le informazioni necessarie a decrittografarli.

Insomma, uno dei più grandi databreach di quest'anno, che si aggiunge alla innumerevole lista di hotel, ristoranti, catene di negozi e retailer di vario genere: Orbitz, Under Armour, Best Buy, KMart, Lord & Tailor, Panera Bread, Saks Fifth Avenue and Saks Off 5h e Sears, solo per fare qualche esempio dei più noti.

L'oggetto malevolo maggiormente utilizzato è il POS Malware, una tipologia di malware che ricerca dispositivi POS per carpirne le informazioni. Solitamente viene diffuso internamente alle organizzazioni attraverso un allegato mail infetto oppure attraverso la navigazione su siti malevoli.