Marriott setuju untuk membayar penyelesaian $52 juta kepada 49 negara bagian dan Washington, DC, atas a seri dari data pelanggaran yang terjadi antara tahun 2014 dan 2020, mempengaruhi lebih dari 334 juta pelanggan. Sebagai bagian dari perjanjian terpisah, Komisi Perdagangan Federal juga mewajibkan Marriott dan anak perusahaannya, Starwood Hotels & Resorts Worldwide, untuk menerapkan program keamanan informasi guna menyelesaikan tuntutan atas pelanggaran data.
“Praktik keamanan Marriott yang buruk menyebabkan banyak pelanggaran yang berdampak pada ratusan juta pelanggan,” Samuel Levine, direktur Biro Perlindungan Konsumen FTC, mengatakan dalam sebuah pernyataan. “Tindakan FTC hari ini, melalui koordinasi dengan mitra negara kami, akan memastikan bahwa Marriott meningkatkan praktik keamanan datanya di hotel-hotel di seluruh dunia.”
FTC mengatakan Marriott dan Starwood, yang diakuisisi pada tahun 2016, menipu pelanggan dengan mengklaim memiliki keamanan data yang wajar dan sesuai, namun malah membuat mereka rentan terhadap pelanggaran. Keluhan FTC menyatakan bahwa Marriott gagal menerapkan kontrol kata sandi, kontrol firewall, atau segmentasi jaringan yang sesuai. Perusahaan gagal menambal perangkat lunak dan sistem yang ketinggalan jaman dan tidak menerapkan otentikasi multifaktor, menurut FTC.
Dalam satu insiden, ditemukan pada tahun 2020, peretas mencuri sekitar 20GB data karyawan dan pelanggan dari BWI Airport Marriott di Baltimore, Maryland. Data tersebut mencakup dokumen bisnis rahasia dan informasi pembayaran pelanggan, termasuk formulir otorisasi kartu kredit.
Sebagai bagian dari penyelesaian, Marriott telah setuju untuk memberikan cara kepada semua pelanggan AS untuk meminta agar informasi pribadi apa pun yang terkait dengan alamat email atau nomor akun hadiah loyalitas mereka dihapus. Menurut FTC, informasi paspor pelanggan, nomor kartu debit dan kredit, tanggal lahir, alamat email, nomor loyalitas, dan informasi lainnya terekspos dalam pelanggaran tersebut. Marriott juga diwajibkan untuk meninjau akun hadiah dan memulihkan poin hadiah pelanggan yang dicuri berdasarkan permintaan.
