Une violation massive de la base de données a été signalé par Marriott Hotels and Resorts à leur enseigne Starwood le 30 novembre. Entre-temps, les procédures de sécurité de Marriott ont été mises à l'honneur dans le monde entier, ce qui a entraîné diverses poursuites judiciaires et pénales engagées par les autorités du monde entier contre la plus grande chaîne d'hôtels du monde. Un cauchemar de relations publiques s'est déroulé pour Marriott, ce qui a rendu la marque sans voix en évitant les réponses aux médias.
Aujourd'hui, Marriott a informé toutes les victimes potentielles et les clients de l'hôtel de ce crime de ce qu'ils appellent un «incident de sécurité». L'e-mail explique aux victimes potentielles de crimes, aux clients Marriott ayant un dossier dans le réseau Starwood Hotels and Resort:
Le 8 septembre 2018, Marriott a reçu une alerte d'un outil de sécurité interne concernant une tentative d'accès à la base de données de réservation de clients Starwood. Marriott a rapidement engagé des experts en sécurité de premier plan pour aider à déterminer ce qui s'est passé. Marriott a appris au cours de l'enquête qu'il y avait eu un accès non autorisé au réseau Starwood depuis 2014. Marriott a récemment découvert qu'une partie non autorisée avait copié et chiffré des informations et a pris des mesures pour les supprimer. Le 19 novembre 2018, Marriott a pu déchiffrer les informations et a déterminé que le contenu provenait de la base de données de réservation des clients Starwood.
Marriott n'a pas fini d'identifier les informations en double dans la base de données, mais pense qu'elle contient des informations sur environ 500 millions de clients ayant effectué une réservation dans un établissement Starwood. Pour environ 327 millions de ces clients, les informations comprennent une combinaison de nom, adresse postale, numéro de téléphone, adresse e-mail, numéro de passeport, informations de compte Starwood Preferred Guest («SPG»), date de naissance, sexe, informations d'arrivée et de départ, date de réservation et préférences de communication. Pour certains, les informations comprennent également les numéros de carte de paiement et les dates d'expiration des cartes de paiement, mais les numéros de carte de paiement ont été cryptés à l'aide du cryptage Advanced Encryption Standard (AES-128). Deux éléments sont nécessaires pour déchiffrer les numéros de carte de paiement et, à ce stade, Marriott n'a pas été en mesure d'exclure la possibilité que les deux aient été pris. Pour les invités restants, les informations se limitaient au nom et parfois à d'autres données telles que l'adresse postale, l'adresse e-mail ou d'autres informations.
Marriott a signalé cet incident aux forces de l'ordre et continue de soutenir leur enquête. L'entreprise avise également les autorités réglementaires.
Marriott regrette profondément que cet incident se soit produit. Dès le départ, nous avons agi rapidement pour contenir l'incident et mener une enquête approfondie avec l'aide d'experts en sécurité de premier plan. Marriott met tout en œuvre pour que ses clients aient des réponses à leurs questions sur leurs informations personnelles grâce à un site Web et un centre d'appels dédiés. Nous soutenons les efforts des forces de l'ordre et travaillons avec les meilleurs experts en sécurité pour nous améliorer. Marriott consacre également les ressources nécessaires pour éliminer progressivement les systèmes Starwood et accélérer les améliorations continues de la sécurité de notre réseau.
Marriott a pris les mesures suivantes pour vous aider à surveiller et à protéger vos informations:
Centre d'appels dédié
Marriott a mis en place un centre d'appels dédié pour répondre aux questions que vous pourriez vous poser sur cet incident. Le centre d'appels est disponible en plusieurs langues. Notre centre d'appels dédié peut connaître un volume élevé au départ, et nous vous remercions de votre patience. Veuillez consulter info.starwoodhotels.com pour toute mise à jour des coordonnées de notre centre d'appels. Les coordonnées du centre d'appels sont:
Pays | Téléphone | temps et jours | ||
Australie | 1-800-270-917 | 24 Heures | Lun - dim | |
Autriche | 0800-281462 | 0900h2100 - XNUMXhXNUMX CET | Lun - dim | |
Belgique | 0800-708-43 | 0900h2100 - XNUMXhXNUMX CET | Lun - dim | |
Brasil | 0-800-724-8312 | 0900h2100 - XNUMXhXNUMX Brasilia ST | Lun - dim | |
Canada | 877-273-9481 | 0900-2100 HNE | Lun - dim | |
Chine | 4001839188 | 0900 - 1800 Chine ST | Lun - dim | |
Chine | +86 20 38157000 | 0900 - 1800 Chine ST | Lun - dim | |
France | 0805-080216 | 0900h2100 - XNUMXhXNUMX CET | Lun - dim | |
Allemagne | 0800-180-1978 | 0900h2100 - XNUMXhXNUMX CET | Lun - dim | |
Inde | 000-800-050-1531 | 24 Heures | Lun - dim | |
Italie | 800-728-023 | 0900h2100 - XNUMXhXNUMX CET | Lun - dim | |
Japon | 0120901011 | 0900 - 1800 Japon ST | Lun - Ven | |
Japon | Tel: +81 (3)5423 6539 | 0900 - 1800 Japon ST | Lun - Ven | |
New Zealand | 0800-359805 | 24 Heures | Lun - dim | |
Mexique | 01-800-099-0742 | 0900 h à 2100 h HNE | Lun - dim | |
Russie | 8-800-100-6925 | 0900h2100 - XNUMXhXNUMX Moscou | Lun - dim | |
Singapour | 800-492-2405 | 24 Heures | Lun - dim | |
South Korea | 007988171758 | 0900 - 1800 Corée ST | Lun - Ven | |
South Korea | Tel: +81 (3)4334 2202 | 0900 - 1800 Corée ST | Lun - Ven | |
Espagne | 900-905407 | 0900h2100 - XNUMXhXNUMX CET | Lun - dim | |
Suisse | 0800-561-876 | 0900h2100 - XNUMXhXNUMX CET | Lun - dim | |
Émirats arabes unis | 8000-3201-34 | 0900h2100 - XNUMXhXNUMX Golfe | Lun - dim | |
UK | 0-808-189-1065 | 0800h2000 - XNUMX GMT | Lun - dim | |
États-Unis | 877-273-9481 | 0900 h à 2100 h HNE | Lun - dim |
Marriott a commencé à envoyer des e-mails sur une base continue le 30 novembre 2018 aux clients concernés dont les adresses e-mail figurent dans la base de données de réservation des clients Starwood.
Marriott offre à ses clients la possibilité de s'inscrire gratuitement à WebWatcher pendant un an. WebWatcher surveille les sites Internet sur lesquels des informations personnelles sont partagées et génère une alerte au consommateur si des preuves des informations personnelles du consommateur sont trouvées. Pour des raisons réglementaires et autres, WebWatcher ou des produits similaires ne sont pas disponibles dans tous les pays. Les invités des États-Unis qui terminent le processus d'inscription WebWatcher bénéficieront également de services de consultation en matière de fraude et d'une couverture de remboursement gratuitement.
La section ci-dessous fournit des informations supplémentaires sur les étapes que vous pouvez suivre. Si vous avez des questions sur cette notification et pour vous inscrire à WebWatcher (s'il est disponible dans votre pays / région), veuillez visiter info.starwoodhotels.com.
Les marques Starwood comprennent: W Hotels, St. Regis, Sheraton Hotels & Resorts, Westin Hotels & Resorts, Element Hotels, Aloft Hotels, The Luxury Collection, Tribute Portfolio, Le Méridien Hotels & Resorts, Four Points by Sheraton et Design Hotels. Les propriétés à temps partagé de marque Starwood (Sheraton Vacation Club, Westin Vacation Club, The Luxury Collection Residence Club, St. Regis Residence Club et Vistana) sont également incluses.
Quel que soit votre lieu de résidence, vous trouverez ci-dessous quelques étapes supplémentaires que vous pouvez suivre.
Changez votre mot de passe régulièrement. N'utilisez pas de mots de passe faciles à deviner. N'utilisez pas les mêmes mots de passe pour plusieurs comptes.
Vérifiez vos relevés de compte de carte de paiement pour détecter toute activité non autorisée et signalez immédiatement toute activité non autorisée à la banque qui a émis votre carte.
Soyez vigilant contre les tiers qui tentent de collecter des informations par tromperie (communément appelée «hameçonnage»), y compris via des liens vers de faux sites Web. Marriott ne vous demandera pas de fournir votre mot de passe par téléphone ou par e-mail.
Si vous pensez être victime d'un vol d'identité ou si vos données personnelles ont été utilisées à mauvais escient, vous devez immédiatement contacter les forces de l'ordre locales.
Nous vous rappelons qu'il est toujours conseillé d'être vigilant en cas d'incident de fraude ou de vol d'identité en examinant vos relevés de compte et rapports de crédit gratuits pour toute activité non autorisée. Vous pouvez obtenir une copie de votre rapport de crédit, gratuitement, une fois tous les 12 mois auprès de chacune des trois sociétés nationales d'évaluation du crédit. Pour commander votre rapport de crédit annuel gratuit, veuillez visiter www.annualcreditreport.com ou appelez sans frais au 1-877-322-8228. Les coordonnées des trois sociétés nationales d'évaluation du crédit sont les suivantes:
Equifax, PO Box 740241, Atlanta, Géorgie 30374, www.equifax.com, 1-800-685-1111 |
Experian, Boîte postale 2002, Allen, TX 75013, www.experian.com, 1-888-397-3742 |
TransUnion, PO Box 2000, Chester, PA 19016, www.transunion.com, 1-800-916-8800 |
Si vous pensez être victime d'un vol d'identité ou avez des raisons de croire que vos informations personnelles ont été utilisées à mauvais escient, vous devez immédiatement contacter la Federal Trade Commission et / ou le bureau du procureur général de votre État. Vous pouvez obtenir des informations de ces sources sur les mesures qu'une personne peut prendre pour éviter le vol d'identité ainsi que des informations sur les alertes de fraude et les gels de sécurité. Vous devez également contacter les autorités policières locales et déposer un rapport de police. Obtenez une copie du rapport de police au cas où on vous demanderait de fournir des copies aux créanciers pour corriger vos dossiers. Les coordonnées de la Federal Trade Commission sont les suivantes:
Federal Trade Commission, Centre de réponse aux consommateurs, 600 Pennsylvania Avenue, NW Washington, DC 20580, 1-877-IDTHEFT (438-4338), www.ftc.gov/idtheft
Si vous résidez dans le Connecticut, le Maryland, le Massachusetts, la Caroline du Nord ou le Rhode Island, vous pouvez contacter et obtenir des informations de votre procureur général à l'adresse suivante: |
|
Si vous êtes un résident du Massachusetts ou du Rhode Island, notez que conformément à la loi du Massachusetts ou du Rhode Island, vous avez le droit de déposer et d'obtenir une copie d'un rapport de police. Vous avez également le droit de demander un gel de sécurité. |
Si vous résidez en Virginie-Occidentale, vous avez le droit de demander que les agences nationales de renseignements sur les consommateurs placent des «alertes à la fraude» dans votre dossier pour informer les créanciers potentiels et d'autres personnes que vous êtes peut-être victime d'un vol d'identité, comme décrit ci-dessous. Vous avez également le droit de geler la sécurité de votre rapport de crédit, comme décrit ci-dessous. |
Alertes de fraude: Il existe deux types d'alertes de fraude que vous pouvez placer sur votre rapport de crédit pour avertir vos créanciers que vous pourriez être victime de fraude: une alerte initiale et une alerte prolongée. Vous pouvez demander qu'une alerte de fraude initiale soit placée sur votre rapport de crédit si vous pensez avoir été, ou êtes sur le point d'être, victime d'un vol d'identité. Une alerte de fraude initiale reste sur votre rapport de crédit pendant au moins 90 jours. Vous pouvez avoir une alerte prolongée placée sur votre rapport de crédit si vous avez déjà été victime d'un vol d'identité avec la preuve documentaire appropriée. Une alerte de fraude prolongée reste sur votre rapport de crédit pendant sept ans. Vous pouvez placer une alerte de fraude sur votre rapport de crédit en contactant l'une des trois agences nationales d'évaluation du crédit. |
Gel du crédit: Vous avez le droit de mettre un gel de crédit, également connu sous le nom de gel de sécurité, sur votre dossier de crédit, gratuitement, afin qu'aucun nouveau crédit ne puisse être ouvert à votre nom sans l'utilisation d'un code PIN qui vous est émis lorsque vous lancez un gel. Un gel de sécurité est conçu pour empêcher les prêteurs potentiels d'accéder à votre rapport de crédit sans votre consentement. Si vous placez un gel de sécurité, les créanciers potentiels et autres tiers ne pourront pas accéder à votre rapport de crédit à moins que vous ne leviez temporairement le gel. Par conséquent, l'utilisation d'un gel de sécurité peut retarder votre capacité à obtenir un crédit.
Il n'y a pas de frais pour mettre en place ou lever un gel de sécurité. Contrairement à une alerte de fraude, vous devez placer séparément un gel de sécurité sur votre dossier de crédit dans chaque société d'évaluation du crédit. Pour obtenir des informations et des instructions pour mettre en place un gel de sécurité, contactez chacune des agences d'évaluation du crédit aux adresses ci-dessous: |
|
Pour demander un gel de sécurité, vous devrez fournir les informations suivantes: |
|
Les agences d'évaluation du crédit disposent d'un jour ouvrable après réception de votre demande par téléphone sans frais ou par voie électronique sécurisée, ou de trois jours ouvrables après réception de votre demande par courrier, pour geler la sécurité de votre rapport de solvabilité. Les bureaux de crédit doivent également vous envoyer une confirmation écrite dans les cinq jours ouvrables et vous fournir un numéro d'identification personnel unique («NIP») ou un mot de passe ou les deux que vous pouvez utiliser pour autoriser la suppression ou la levée du gel de sécurité.
Pour lever le gel de la sécurité afin de permettre à une entité spécifique ou à un individu d'accéder à votre rapport de crédit, ou pour lever un gel de sécurité pour une période de temps spécifiée, vous devez soumettre une demande via un numéro de téléphone sans frais, un moyen électronique sécurisé. maintenu par une agence d'évaluation du crédit, ou en envoyant une demande écrite par courrier ordinaire, certifié ou du jour au lendemain aux agences d'évaluation du crédit et inclure une identification appropriée (nom, adresse et numéro de sécurité sociale) et le code PIN ou le mot de passe qui vous a été fourni lorsque vous avez placé le gel de la sécurité ainsi que l'identité de ces entités ou individus que vous souhaitez recevoir votre rapport de crédit ou la période de temps spécifique pendant laquelle vous souhaitez que le rapport de crédit soit disponible. Les agences d'évaluation du crédit disposent d'un jour ouvrable après réception de votre demande par téléphone sans frais ou par voie électronique sécurisée, ou de trois jours ouvrables après réception de votre demande par courrier, pour lever le gel de sécurité pour ces entités identifiées ou pour la période de temps spécifiée. Pour supprimer le gel de la sécurité, vous devez soumettre une demande via un numéro de téléphone sans frais, un moyen électronique sécurisé géré par une agence d'évaluation du crédit, ou en envoyant une demande écrite par courrier ordinaire, certifié ou du jour au lendemain à chacun des trois crédits. bureaux et inclure une identification appropriée (nom, adresse et numéro de sécurité sociale) et le code PIN ou le mot de passe qui vous a été fourni lorsque vous avez placé le gel de sécurité. Les bureaux de crédit disposent d'un jour ouvrable après réception de votre demande par téléphone sans frais ou par voie électronique sécurisée, ou de trois jours ouvrables après réception de votre demande par courrier, pour lever le gel de sécurité. |
Loi sur les rapports de solvabilité équitables: Vous avez également des droits en vertu du Fair Credit Reporting Act fédéral, qui favorise l'exactitude, l'équité et la confidentialité des informations contenues dans les fichiers des agences d'évaluation des consommateurs. La FTC a publié une liste des droits primaires créés par la FCRA (https://www.consumer.ftc.gov/articles/pdf-0096-fair-credit-reporting-act.pdf), et cet article renvoie les personnes souhaitant plus d'informations à visiter www.ftc.gov/credit. La liste des droits FCRA de la FTC comprend: |
|
Si vous êtes une personne concernée par l'Union européenne, et que vous souhaitez vous plaindre auprès de votre autorité de protection des données, vous pouvez les contacter à l'adresse suivante: |
|
Si vous êtes un résident canadien, et que vous souhaitez vous plaindre auprès de votre commissaire à la protection de la vie privée, vous pouvez le contacter à: |
|
|