Nieuws datalek Marriott Hotel Group

Op één na grootste datalek ooit treft 500 miljoen gasten van Marriott Hotel Group, ook creditcardnummers buitgemaakt

Een nog onbekende hacker heeft vier jaar lang toegang gehad tot de reserveringsdatabase van meerdere hotelketens die horen bij de Marriott Hotel Group. Daarbij zijn persoonsgegevens van mogelijk 500 miljoen gasten gestolen. 

Een Marriott Hotel in Californië

Van 327 miljoen van hen is ‘een combinatie van adresgegevens, paspoortgegevens, naam en leeftijd’ buitgemaakt. Van ‘sommige’ gasten zijn ook de versleutelde creditcardnummers gestolen. Mogelijk heeft de hacker de sleutel.

Het datalek is een van de grootste in de geschiedenis. Alleen bij het lek van internetdienstverlener Yahoo! in 2013 was de schade groter. Toen werden gegevens van 3 miljard gebruikers buitgemaakt. Marriott Hotel Group meldde het datalek vrijdag in een persbericht. De getroffen database is die van dochteronderneming Starwood, waaronder ook de Sheraton-hotels en W Hotels vallen.

Op 8 september kregen technici de eerste melding van de diefstal, op 19 november ontdekte het Marriott de omvang van het lek. Inmiddels heeft het bedrijf wereldwijd autoriteiten ingelicht en een website voor vragen opgetuigd.

Nederlandse gasten

Onduidelijk is nog hoeveel paspoortgegevens en hoeveel creditcardgegevens er precies zijn buitgemaakt. Ook is onduidelijk of en hoeveel Nederlandse gasten hun gegevens kwijt zijn. ‘We hebben op dit moment nog geen gedetailleerde informatie voor specifieke landen die zijn getroffen’, aldus een woordvoerder van Marriott.

De website van Marriott Hotel Group vermeldt wel dat iedereen die op of vóór 10 september 2018 te gast was bij een van de Starwood Hotels mogelijk het slachtoffer is van gegevensdiefstal. Het onderzoek is nog in volle gang.

Amerikaanse en Britse autoriteiten hebben alvast een eigen onderzoek ingesteld. De Nederlandse Autoriteit Persoonsgegevens (AP), dat datalekken onderzoekt waarbij Nederlanders betrokken zijn, geeft geen informatie over ontvangen meldingen of lopende onderzoeken. Onder de nieuwe privacywet kan de AP boetes opleggen van maximaal 20 miljoen euro of, als die hoger is, 4 procent van de jaaromzet van de verantwoordelijke instelling. De zwaarte van een eventuele sanctie hangt af van de aard en hoeveelheid van gelekte gegevens, de verwijtbaarheid van de instelling, en de mate van medewerking van de verantwoordelijke. 

Zo legde de Autoriteit Persoonsgegevens vervoersbedrijf Uber deze week een boete op van 600 duizend euro, omdat het een datalek in 2016 niet tijdig had gemeld bij de AP. Het lek trof 57 miljoen Uber-gebruikers wereldwijd, onder wie 174 duizend Nederlanders. Uber had dit binnen 72 uur na ontdekking aan de AP moeten melden.

Advies

Voor Nederlanders die op of vóór 10 september 2018 in één van de Starwood-hotels hebben geslapen, heeft de AP het volgende advies: u weet dat uw gegevens mogelijk rondgaan, dus wees extra waakzaam bij e-mails waarin gevraagd wordt om te klikken op een link, en wees beducht op eventuele rare bankafschrijvingen.

Starwood Hotels is het moederbedrijf van veel bekende luxe hotels, zoals W Hotels, Sheraton, Westin, Le Méridien, St. Regis en The Luxury Collection. Het bedrijf, dat sinds 2016 eigendom is van Marriott Hotel Group, runt 1.200 hotels wereldwijd en heeft 181 duizend mensen in dienst. Marriott Hotel Group als geheel omvat 6.700 hotels en resorts.

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@volkskrant.nl.