Vad Marriott berättade för offer för massivt säkerhetsbrott? Avskrift av ett e-postmeddelande till hotellets gäster

En massiv databasintrång rapporterades av Marriott Hotels and Resorts vid deras Starwood-varumärke den 30 november. Under tiden hade Marriott Security-förfaranden varit i den globala strålkastaren och resulterat i olika juridiska och kriminella åtgärder vidtagna av myndigheter runt om i världen mot den största hotellkedjan i världen. En PR-mardröm har utvecklats för Marriott vilket har gjort att varumärket blir mållöst för att undvika svar på media.

Idag informerade Marriott alla potentiella offer och hotellgäster om detta brott om vad de kallar en "säkerhetsincident". E-postmeddelandet förklarar potentiella brottsoffer, Marriott-kunder med rekord i Starwood Hotels and Resort-nätverket:

Den 8 september 2018 fick Marriott en varning från ett internt säkerhetsverktyg angående ett försök att få tillgång till Starwood-gästbokningsdatabasen. Marriott anlitade snabbt ledande säkerhetsexperter för att avgöra vad som hände. Marriott fick veta under utredningen att det hade funnits obehörig åtkomst till Starwood-nätverket sedan 2014. Marriott upptäckte nyligen att en obehörig part hade kopierat och krypterat information och vidtagit åtgärder för att ta bort den. Den 19 november 2018 kunde Marriott dekryptera informationen och bestämde att innehållet var från Starwood-gästbokningsdatabasen.

Marriott har inte slutfört identifieringen av dubblettinformation i databasen, men tror att den innehåller information om upp till cirka 500 miljoner gäster som bokat på en Starwood-fastighet. För cirka 327 miljoner av dessa gäster innehåller informationen en kombination av namn, postadress, telefonnummer, e-postadress, passnummer, Starwood Preferred Guest ("SPG") kontoinformation, födelsedatum, kön, ankomst- och avgångsinformation, bokningsdatum och kommunikationspreferenser. För vissa inkluderar informationen även betalkortsnummer och betalkortets utgångsdatum, men betalkortsnumren krypterades med Advanced Encryption Standard-kryptering (AES-128). Det finns två komponenter som behövs för att dekryptera betalkortsnumren, och vid denna tidpunkt har Marriott inte kunnat utesluta möjligheten att båda togs. För de återstående gästerna var informationen begränsad till namn och ibland annan information som postadress, e-postadress eller annan information.

Marriott rapporterade denna incident till brottsbekämpning och fortsätter att stödja deras utredning. Företaget meddelar också tillsynsmyndigheter.

Marriott beklagar djupt att denna händelse hände. Från början gick vi snabbt för att begränsa händelsen och genomföra en grundlig utredning med hjälp av ledande säkerhetsexperter. Marriott arbetar hårt för att säkerställa att våra gäster har svar på frågor om deras personliga information med en dedikerad webbplats och callcenter. Vi stöder insatserna från brottsbekämpning och arbetar med ledande säkerhetsexperter för att förbättra. Marriott ägnar också de resurser som krävs för att avveckla Starwood-system och påskynda de pågående säkerhetsförbättringarna i vårt nätverk.

Marriott har vidtagit följande steg för att hjälpa dig att övervaka och skydda din information:

Dedikerat callcenter

Marriott har inrättat ett särskilt callcenter för att svara på frågor du kan ha om denna händelse. Callcentret finns på flera språk. Vårt dedikerade callcenter kan uppleva hög volym från början, och vi uppskattar ditt tålamod. Kontrollera info.starwoodhotels.com för uppdateringar av våra kontaktuppgifter till callcenter. Kontaktcentralens kontaktuppgifter är:

	Land	Telefon	tid och dagar
	Australien	1-800-270-917	24 Timmar	Mån - Sön
	Österrike	0800-281462	0900 - 2100 CET	Mån - Sön
	Belgien	0800-708-43	0900 - 2100 CET	Mån - Sön
	Brasilien	0-800-724-8312	0900 - 2100 Brasilia ST	Mån - Sön
	Kanada	877-273-9481	0900-2100 EST	Mån - Sön
	Kina	4001839188	0900 - 1800 Kina ST	Mån - Sön
	Kina	+86 20 38157000	0900 - 1800 Kina ST	Mån - Sön
	Frankrike	0805-080216	0900 - 2100 CET	Mån - Sön
	Tyskland	0800-180-1978	0900 - 2100 CET	Mån - Sön
	Indien	000-800-050-1531	24 Timmar	Mån - Sön
	Italien	800-728-023	0900 - 2100 CET	Mån - Sön
	Japan	0120901011	0900 - 1800 Japan ST	Man - Fre
	Japan	+81 3 5423 6539	0900 - 1800 Japan ST	Man - Fre
	Nya Zeeland	0800-359805	24 Timmar	Mån - Sön
	Mexico	01-800-099-0742	0900 - 2100 EST	Mån - Sön
	Ryssland	8-800-100-6925	0900 - 2100 Moskva	Mån - Sön
	Singapore	800-492-2405	24 Timmar	Mån - Sön
	Sydkorea	007988171758	0900 - 1800 Korea ST	Man - Fre
	Sydkorea	+81 3 4334 2202	0900 - 1800 Korea ST	Man - Fre
	Spanien	900-905407	0900 - 2100 CET	Mån - Sön
	Schweiz	0800-561-876	0900 - 2100 CET	Mån - Sön
	Förenade arabemiraten	8000-3201-34	0900 - 2100 Gulf	Mån - Sön
	UK	0-808-189-1065	0800 - 2000 GMT	Mån - Sön
	USA	877-273-9481	0900 - 2100 EST	Mån - Sön

 

Marriott började skicka e-postmeddelanden löpande den 30 november 2018 till berörda gäster vars e-postadresser finns i Starwoods gästbokningsdatabas.

Marriott ger gästerna möjlighet att registrera sig gratis i WebWatcher i ett år. WebWatcher övervakar webbplatser där personlig information delas och genererar en varning till konsumenten om det finns bevis på konsumentens personliga information. Av regleringsskäl och andra skäl är WebWatcher eller liknande produkter inte tillgängliga i alla länder. Gäster från USA som slutför registreringsprocessen för WebWatcher kommer också att få tjänster för bedrägerikonsultation och ersättningstäckning gratis.

Avsnittet nedan ger ytterligare information om steg du kan vidta. Om du har frågor om detta meddelande och anmäler dig till WebWatcher (om det finns i ditt land / region), besök info.starwoodhotels.com.

Starwood-varumärken inkluderar: W Hotels, St. Regis, Sheraton Hotels & Resorts, Westin Hotels & Resorts, Element Hotels, Aloft Hotels, The Luxury Collection, Tribute Portfolio, Le Méridien Hotels & Resorts, Four Points by Sheraton och Design Hotels. Starwood-märkta timeshare-fastigheter (Sheraton Vacation Club, Westin Vacation Club, The Luxury Collection Residence Club, St. Regis Residence Club och Vistana) ingår också.

Oavsett var du bor, nedan är några ytterligare steg du kan ta.

Ändra ditt lösenord regelbundet. Använd inte lätt gissade lösenord. Använd inte samma lösenord för flera konton.

Granska dina kontoutdrag för betalkort för obehörig aktivitet och rapportera omedelbart obehörig aktivitet till banken som utfärdat ditt kort.

Var vaksam mot tredje part som försöker samla information genom bedrägeri (allmänt känd som "nätfiske"), inklusive genom länkar till falska webbplatser. Marriott kommer inte att be dig att ange ditt lösenord via telefon eller e-post.

Om du tror att du är utsatt för identitetsstöld eller om dina personuppgifter har missbrukats, bör du omedelbart kontakta lokal brottsbekämpning.

Vi påminner dig om att det alltid är tillrådligt att vara vaksam för bedrägerier eller identitetsstöld genom att granska dina kontoutdrag och gratis kreditrapporter för obehörig aktivitet. Du kan få en kopia av din kreditrapport, gratis, var 12: e månad från vart och ett av de tre rikstäckande kreditrapporteringsföretagen. För att beställa din årliga kostnadsfria kreditrapport, besök www.annualcreditreport.com eller ring gratis på 1-877-322-8228. Kontaktuppgifterna för de tre rikstäckande kreditrapporteringsföretagen är följande:

Equifax, PO Box 740241, Atlanta, GA 30374, www.equifax.com1-800-685-1111

Experian, PO Box 2002, Allen, TX 75013, www.experian.com1-888-397-3742

TransUnion, PO Box 2000, Chester, PA 19016, www.transunion.com1-800-916-8800

Om du tror att du är utsatt för identitetsstöld eller har anledning att tro att din personliga information har missbrukats, bör du omedelbart kontakta Federal Trade Commission och / eller justitieministerns kontor i ditt land. Du kan få information från dessa källor om steg som en individ kan vidta för att undvika identitetsstöld samt information om bedrägerivarningar och säkerhetsfrysning. Du bör också kontakta dina lokala brottsbekämpande myndigheter och lämna in en polisrapport. Skaffa en kopia av polisrapporten om du ombeds lämna kopior till borgenärerna för att korrigera dina register. Kontaktinformationen för Federal Trade Commission är följande:

Federal Trade Commission, Consumer Response Center, 600 Pennsylvania Avenue, NW Washington, DC 20580, 1-877-IDTHEFT (438-4338), www.ftc.gov/idtheft

 

Om du är bosatt i Connecticut, Maryland, Massachusetts, North Carolina eller Rhode Island, kan du kontakta och få information från din statsadvokat på:

Connecticut Attorney General's Office, 55 Elm Street, Hartford, CT 06106, www.ct.gov/ag1-860-808-5318 Maryland Attorney General's Office, 200 St. Paul Place, Baltimore, MD 21202, www.oag.state.md.us, 1-888-743-0023 or 1-410-576-6300 Massachusetts Attorney General, One Ashburton Place, Boston, MA 02108, www.mass.gov/ago/contact-us.html1-617-727-8400 North Carolina Attorney General's Office, 9001 Mail Service Center, Raleigh, NC 27699, www.ncdoj.gov, 1-919-716-6400 or 1-877-566-7226 Rhode Island Attorney General's Office, 150 South Main Street, Providence, RI 02903, www.riag.ri.gov1-401-274-4400

Om du är bosatt i Massachusetts eller Rhode Island, notera att du enligt Massachusetts eller Rhode Island-lag har rätt att lämna in och få en kopia av en polisrapport. Du har också rätt att begära en säkerhetsfrysning.

Om du är bosatt i West Virginia, har du rätt att be rikstäckande konsumentrapporteringsbyråer lägga in ”bedrägerivarningar” i din fil för att låta potentiella fordringsägare och andra veta att du kan bli offer för identitetsstöld, enligt beskrivningen nedan. Du har också rätt att placera en säkerhetsfrysning på din kreditrapport enligt beskrivningen nedan.

Bedrägerivarningar: Det finns två typer av bedrägerivarningar som du kan placera i din kreditrapport för att varna dina fordringsägare om att du kan vara ett offer för bedrägerier - en första varning och en utökad varning. Du kan begära att en första bedrägerivarning placeras i din kreditrapport om du misstänker att du har varit eller är på väg att bli offer för identitetsstöld. En första bedrägerilarm kvarstår på din kreditrapport i minst 90 dagar. Du kan få en utökad varning i din kreditrapport om du redan har utsatts för identitetsstöld med lämplig dokumentation. En utökad bedrägerilarm kvarstår i din kreditrapport i sju år. Du kan placera en bedrägerivarning på din kreditrapport genom att kontakta någon av de tre nationella kreditupplysningsbyråerna.

Kredit fryser: Du har rätt att sätta en kreditfrysning, även känd som säkerhetsfrysning, på din kreditfil gratis, så att ingen ny kredit kan öppnas i ditt namn utan att använda ett PIN-nummer som utfärdas till dig när du initierar en frysning. En säkerhetsfrysning är utformad för att förhindra att potentiella kreditgivare får åtkomst till din kreditrapport utan ditt samtycke. Om du placerar en säkerhetsfrysning kommer potentiella fordringsägare och andra tredje parter inte att få tillgång till din kreditrapport om du inte tillfälligt upphäver frysningen. Användning av säkerhetsfrysning kan därför försena din förmåga att få kredit. Det finns ingen avgift för att placera eller upphäva en säkerhetsfrysning. Till skillnad från en bedrägerilarm måste du placera en säkerhetsfrysning på din kreditfil hos varje kreditrapporteringsföretag. För information och instruktioner för att placera en säkerhetsfrysning, kontakta var och en av kreditrapporteringsbyråerna på adresserna nedan:

Experian Security Freeze, PO Box 9554, Allen, TX 75013, www.experian.com TransUnion Security Freeze, PO Box 2000, Chester, PA 19016, www.transunion.com Equifax Security Freeze, PO Box 105788, Atlanta, GA 30348, www.equifax.com

För att begära en säkerhetsfrysning måste du tillhandahålla följande information:

1. Ditt fullständiga namn (inklusive mitten initial samt Jr., Sr., II, III, etc.) 2. Personnummer 3. Födelsedatum 4. Om du har flyttat under de senaste fem åren, ange adresserna där du har bott de senaste fem åren 5. Bevis på aktuell adress såsom en aktuell elräkning eller telefonräkning 6. En läsbar fotokopia av ett statligt utfärdat identitetskort (statligt körkort eller ID-kort, militäridentifikation etc.) 7. Om du är offer för identitetsstöld, ta med en kopia av polisrapporten, utredningsrapporten eller klagomål till en brottsbekämpande myndighet om identitetsstöld

Kreditrapporteringsbyråerna har en arbetsdag efter att ha mottagit din begäran via gratis telefon eller säkra elektroniska medel, eller tre arbetsdagar efter att ha mottagit din begäran per post, för att placera en säkerhetsfrysning på din kreditrapport. Kreditbyråerna måste också skicka en skriftlig bekräftelse till dig inom fem arbetsdagar och förse dig med ett unikt personligt identifieringsnummer ("PIN") eller lösenord eller båda som kan användas av dig för att godkänna att säkerhetsfrysningen tas bort eller upphävs. För att upphäva säkerhetsfrysningen för att ge en viss enhet eller enskild tillgång till din kreditrapport eller för att upphäva en säkerhetsfrysning under en viss tidsperiod måste du skicka en begäran via ett avgiftsfritt telefonnummer, ett säkert elektroniskt medel underhålls av ett kreditupplysningsföretag, eller genom att skicka en skriftlig förfrågan via regelbunden, certifierad eller över natten post till kreditupplysningsföretagen och inkludera korrekt identifiering (namn, adress och personnummer) och PIN-koden eller lösenordet som du får när du du placerade säkerhetsfryst samt identiteten på de enheter eller individer som du vill få din kreditrapport eller den specifika tidsperiod du vill att kreditrapporten ska finnas tillgänglig. Kreditrapporteringsbyråerna har en arbetsdag efter att ha mottagit din begäran via gratis telefon eller säkra elektroniska medel, eller tre arbetsdagar efter att ha mottagit din begäran per post, för att upphäva säkerhetsfryset för de identifierade enheterna eller för den angivna tidsperioden. För att ta bort säkerhetsfrysningen måste du skicka en begäran via ett avgiftsfritt telefonnummer, ett säkert elektroniskt medel som underhålls av ett kreditupplysningsföretag eller genom att skicka en skriftlig förfrågan via vanlig, certifierad eller över natten post till var och en av de tre krediterna byråer och inkludera korrekt identifiering (namn, adress och personnummer) och PIN-koden eller lösenordet som du fick när du placerade säkerhetsfrysningen. Kreditbyråerna har en arbetsdag efter att ha mottagit din begäran via gratis telefon eller säkra elektroniska medel, eller tre arbetsdagar efter att ha mottagit din begäran per post, för att ta bort säkerhetsfrysningen.

Fair Credit Reporting Act: Du har också rättigheter enligt Federal Fair Credit Reporting Act, som främjar informationens riktighet, rättvisa och integritet i filerna hos konsumentrapporteringsbyråer. FTC har publicerat en lista över de primära rättigheter som skapats av FCRA (https://www.consumer.ftc.gov/articles/pdf-0096-fair-credit-reporting-act.pdf), och den artikeln hänvisar individer som söker mer information för att besöka www.ftc.gov/credit. FTC: s lista över FCRA-rättigheter inkluderar:

• Du har rätt att få en kopia av din kreditrapport. Kopian av din rapport måste innehålla all information i din fil vid tidpunkten för din begäran. • Var och en av de rikstäckande kreditrapporteringsföretagen - Equifax, Experian och TransUnion - måste ge dig en gratis kopia av din kreditrapport, på din begäran, en gång var 12: e månad. • Du har också rätt till en kostnadsfri rapport om ett företag vidtar negativa åtgärder mot dig, som att neka din ansökan om kredit, försäkring eller anställning, och du ber om din rapport inom 60 dagar efter det att du har fått meddelande om åtgärden. Meddelandet ger dig kreditupplysningsföretagets namn, adress och telefonnummer. Du har också rätt till en gratis rapport om året om du är arbetslös och planerar att söka jobb inom 60 dagar. om du är på välfärd; eller om din rapport är felaktig på grund av bedrägeri, inklusive identitetsstöld. • Du har rätt att begära en kreditpoäng. • Du har rätt att bestrida ofullständig eller felaktig information. • Konsumentrapporteringsbyråer måste korrigera eller radera felaktig, ofullständig eller overifierbar information. • Konsumentrapporteringsbyråer får inte rapportera föråldrad negativ information. • Tillgången till din fil är begränsad. Du måste ge ditt samtycke för att rapporter ska lämnas till arbetsgivare. • Du kan begränsa ”förinställda” erbjudanden om kredit och försäkring du får baserat på informationen i din kreditrapport. • Du kan begära skadestånd från överträdare. • Identitetsstöldoffer och militär personal med aktiv tjänst har ytterligare rättigheter.

Om du är registrerad i Europeiska unionen, och du vill klaga till din dataskyddsmyndighet kan du kontakta dem på:

Österrike: Österreichische Datenschutzbehörde, Wickenburggasse 8, 1080 Wien, +43 1 52 152, E-post: [e-postskyddad] Belgien: De Gegevensbeschermingsautoriteit (GBA), Rue de la Presse 35, 1000 Bryssel, +32 (0) 2 274 48, E-post: [e-postskyddad] Bulgarien: Kommissionen för personuppgiftsskydd (CPDP), 2 Prof. Tsvetan Lazarov Blvd., Sofia 1592, +359 2 915, E-post: [e-postskyddad] Kroatien: Kroatiska dataskyddsbyrån (AZOP), Fra Grge Martića 14, HR-10 Zagreb, +000 (385) 0 1-4609, E-post: [e-postskyddad] Cypern: Byrån för kommissionären för personuppgiftsskydd, Iasonos 1, 1082 Nicosia (kontor), PO Box 23378, 1682 Nicosia, Cypern (postadress), +357 22818456, E-post: [e-postskyddad] Tjeckien (Tjeckien): Kontoret för skydd av personuppgifter, Pplk. Sochora 27, 170 00 Praha 7, +420, E-post: [e-postskyddad] Danmark: Datatilsynet, Borgergade 28, 5, 1300 København, +45 33 19 32 00, E-post: [e-postskyddad] estland: Andmekaitse Inspektsioon, 19 Väike-Ameerika St., 10129 Tallinn, +372 627 4135, E-post: [e-postskyddad] Finland: Tietosuojavaltuutetun toimisto, Ratapihantie 9, 6: e våningen, 00520, Helsingfors (kontor), PO Box 800, 00521 Helsingfors (postadress), +358 29 566 6700, E-post: [e-postskyddad] Frankrike: Commission nationale de l'informatique et des libertés (CNIL), 3 Place de Fontenoy TSA 80715, 75334 PARIS CEDEX 07, +33 01 53 73 22 22 Tyskland: Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Husarenstr. 30 - 53117 Bonn, +49 (0) 228-997799-0, E-post: [e-postskyddad]. (Du kan också kontakta dataskyddsbyrån i ditt Bundesland.) Grekland: Dataskyddsmyndighetens kontor, Kifissias 1-3, 115 23 Aten, + 30-210 6475600, E-post: [e-postskyddad] Ungern: Nemzeti Adatvédelmi és Információszabadság Hatóság, H-1125 Budapest, Szilágyi Erzsébet fasor 22 / C, +36 1 391, E-post: [e-postskyddad] Irland: Dataskyddskommission (Comisiún Cosanta Sonraí), Canal House, Station Road, Portarlington, R32 AP23 Co. Laois, +353 57 868, +4800 (353) 0761, E-post: [e-postskyddad] Italien: Garante per la protezione dei dati personali, Piazza Venezia 11 - 00187 Roma, +39 06 6967 71, +39 06 6967 72917, E-post: [e-postskyddad] lettland: Data State Inspectorate, Blaumana Street 11 / 13–11, Riga, LV – 1011, +371 67 22 31 31, E-post: [e-postskyddad] litauen: Valstybinė duomenų apsaugos inspekcija, A. Juozapavičiaus g. 6, 09310 Vilnius, +370 (8 5) 271 2804, +370 (8 5) 279 1445, E-post: [e-postskyddad] luxemburg: Commission Nationale Pour La Protection Des Données (CPND), 1, avenue du Rock'n'Roll, L-4361 Esch-sur-Alzette, +352 26 10 60 - 1 Malta: Office of the Information and Data Protection Commissioner (IDPC), Level 2, Airways House, High Street, Sliema SLM 1549, +356 2328 7100, E-post: [e-postskyddad] Nederländerna: Autoriteit Persoonsgegevens, Postbus 93374, 2509 AJ DEN HAAG, +31 (0) 70 888 85 Polen: Urząd Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa, +48 22 531 03, E-post: [e-postskyddad] Portugal: Comissão Nacional de Protecção de Dados (CNPD), Av. D. Carlos I, 134 - 1.º, 1200-651 Lisboa, +351 21 392 84 00, E-post: [e-postskyddad] Rumänien: Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), 28-30 G-ral Gheorghe Magheru Bld., District 1, postnummer 010336, Bukarest, +40 318 059 211, E-post: [e-postskyddad] Slovakien: Úrad na ochranu osobných údajov, Hraničná 12, 820 07, Bratislava 27, +421 2 32313214, E-post: [e-postskyddad] slovenien: Informacijski pooblaščenec, Dunajska cesta 22, SI-1000 Ljubljana, +386 1 230 97, E-post: [e-postskyddad] Spanien: Agencia Española de Protección de Datos (AEPD), Jorge Juan, 6, 28001 Madrid, +34 901, +100 Sverige: Datainspektionen, Box 8114, 104 20 Stockholm, +46 08 657 61, E-post: [e-postskyddad] Storbritannien: Informationskommissionärens kontor (ICO), Wycliffe House, Water Lane, Wilmslow, Cheshire SK9 5AF, +44 0303 123, eller kontakta via ICO: s sida Kontakta oss på ico.org.uk/contactus

Om du är kanadensisk invånare, och du vill klaga till din integritetsombud kan du kontakta dem på:

Office of the Privacy Commissioner of Canada (OPC), Victoria Street 30, Gatineau, Quebec, K1A 1H3, Avgiftsfritt: 1-800-282-1376, Telefon: (819) 994-5444 eller kontakta via OPC: s sida Kontakta oss på https://www.priv.gc.ca/en/contact-the-opc/. Byrån för information och sekretess i Alberta (OIPC), Edmonton Office: # 410, 9925-109 Street, Edmonton, Alberta, T5K 2J8, Tullavgift: 1-888-878-4044, Telefon: 780-422-6860; Calgary Office: Suite 2460, 801 6 Avenue SW, Calgary, Alberta, T2P 3W2, Avgiftsfritt: 1-888-878-4004, Telefon: 403-297-2728, eller kontakta via OIPC Albertas Kontakta oss-sida på https://www.oipc.ab.ca/about-us/contact-us.aspx. Office of the Information and Privacy Commissioner för British Columbia, PO Box 9038 Stn. Prov. Govt., Victoria, BC V8W 9A4, Telefon: 250-387-5629 eller kontakta via sidan Kontakta oss på https://www.oipc.bc.ca/about/contact-us/. Commission d'accès à l'information du Québec, Québec Office, Bureau 2.36, 525 boul. René-Lévesque Est, Québec (Québec) G1R 5S9, Telefon: 418 528-7741; Montreal Office: Bureau 18.200, 500 boul. René-Lévesque Ouest, Montréal (Québec) H2Z 1W7, Telefon: 514 873-4196 eller kontakta via kontakta oss på http://www.cai.gouv.qc.ca/a-propos/nous-joindre/.