Denna 1 februari, 2010, fil foto, visar hotellet Westin Philadelphia i Philadelphia. Informationen från så många som 500 miljoner gäster på Starwood-hotell har äventyrats och Marriott sa att det har upptäckts att obehörig åtkomst till data inom deras Starwood-nätverk har ägt rum sedan 2014. Företaget sa i fredags, 30 november, 2018, att kreditkortsnummer och utgångsdatum för vissa gäster kan ha tagits. (AP Photo/Matt Rourke, Fil)
Ett säkerhetsintrång i Marriotts hotellimperium äventyrade informationen från så många som 500 miljoner gäster världen över, avslöjar sina kreditkortsnummer, passnummer och födelsedatum så länge som fyra år, sa företaget i fredags.
Krisen uppstod snabbt som ett av de största dataintrången någonsin. Som jämförelse, förra årets häpnadsväckande Equifax-hack drabbade mer än 145 miljoner människor.
Analytiker var oroade över hur lång tid brottet hade pågått. Många säkerhetsintrång sträcker sig över månader, i genomsnitt 90 till 200 dagar, men den här började 2014.
De berörda hotellvarumärkena drevs av Starwood innan det förvärvades av Marriott 2016. De inkluderar W Hotels, St. Regis, Sheraton, Westin, Element, Högt upp, Lyxkollektionen, Le Méridien och Four Points. Starwood-märkta tidsdelningsfastigheter inkluderades också.
Ingen av de Marriott-märkta kedjorna var hotade.
För så många som två tredjedelar av de drabbade, de exponerade uppgifterna kan innefatta postadresser, telefonnummer, e-postadresser och passnummer. Även information om Starwood Preferred Guest-konto kan inkluderas, födelsedatum, kön, ankomst- och avgångstider och bokningsdatum.
Kreditkortsnummer och utgångsdatum för vissa gäster kan ha tagits, enligt företaget.
"Vi missade vad våra gäster förtjänar och vad vi förväntar oss av oss själva, " VD Arne Sörenson sa i ett uttalande. "Vi gör allt vi kan för att stödja våra gäster, och använda lärdomar för att bli bättre på väg framåt."
Det är inte vanligt att passnummer är en del av ett hack, men det är inte ovanligt. Hongkong-baserade flygbolaget Cathay Pacific Airways sa i oktober att 9,4 miljoner passagerares information hade brutits, inklusive passnummer.
Passnummer kan läggas till fullständiga uppsättningar data om en person som dåliga skådespelare säljer på den svarta marknaden, leder till identitetsstöld. Och medan kreditkortsindustrin kan avsluta konton och utfärda nya kort inom några dagar, det är en mycket svårare process, ofta genomsyrad av statlig byråkrati, för att få ett nytt pass.
I denna 31 juli, 2013, fil foto, logotypen för W Hotel, ägs av Starwood Hotels &Resorts Worldwide, ses på New Yorks Times Square. Informationen från så många som 500 miljoner gäster på Starwood-hotell har äventyrats och Marriott sa att det har upptäckts att obehörig åtkomst till data inom deras Starwood-nätverk har ägt rum sedan 2014. Företaget sa i fredags, 30 november, 2018, att kreditkortsnummer och utgångsdatum för vissa gäster kan ha tagits. (AP Photo/Mark Lennihan, Fil)
Men en förlösande faktor med pass är att de ofta måste ses personligen, sa Ryan Wilk på NuData Security. "Det är ett mycket säkert dokument med många säkerhetsfunktioner, " han sa.
E-postmeddelanden för de som kan ha drabbats börjar rullas ut på fredag.
Siffran på 500 miljoner inkluderar antalet gäster som gjort en bokning på ett av de drabbade hotellen. Men det kan också inkludera en enda person som bokat flera vistelser, sa företaget.
bad om mer information, Marriotts talesman Jeff Flaherty sa på fredagen att företaget inte har identifierat dubblettinformation i databasen.
När sammanslagningen först tillkännagavs 2015, Starwood hade 21 miljoner människor i sitt lojalitetsprogram. Företaget förvaltar mer än 6, 700 fastigheter över hela världen, mest i Nordamerika.
Medan den första impulsen för de som potentiellt drabbas av intrånget kan vara att kontrollera kreditkort, säkerhetsexperter säger att annan information i databasen kan vara mer skadlig.
"Namnen, adresser, passnummer och annan känslig personlig information som har avslöjats är av större betydelse än betalningsinformationen, som var krypterad, ", sa analytikern Ted Rossman på CreditCards.com. "Folk borde vara oroliga för att brottslingar kan använda denna information för att öppna bedrägliga konton i deras namn."
Ett internt säkerhetsverktyg signalerade ett potentiellt brott i början av september, men företaget kunde inte dekryptera informationen som skulle definiera vilken data som eventuellt hade exponerats förrän förra veckan.
Marriott, baserad i Bethesda, Maryland, sade i en regulatorisk ansökan att det är för tidigt att uppskatta vilken ekonomisk inverkan överträdelsen kommer att ha på företaget. Den noterade att den har cyberförsäkring, och arbetar med sina försäkringsbolag för att bedöma täckningen.
Starwood-intrånget sticker ut bland till och med de största säkerhetshacken som någonsin har gjorts.
I denna tisdag, 30 april, 2013, fil foto, en man arbetar på en ny Marriott-skylt framför det före detta Peabody Hotel i Little Rock, Ark. Marriott säger att informationen om upp till 500 miljoner gäster på deras Starwood-hotell har äventyrats. Det stod fredag, 30 november, 2018, att det skedde ett brott mot dess databas i september, men fick också reda på genom en utredning att det har funnits obehörig åtkomst till Starwood-nätverket sedan 2014. (AP Photo/Danny Johnston, Fil)
Yahoo hade dataintrång 2013 och 2014 som påverkade cirka 3 miljarder konton. Target hade också en incident under 2013 som påverkade mer än 41 miljoner kundbetalkortskonton och exponerade kontaktinformation för mer än 60 miljoner kunder.
Förtroendevalda var snabba med att uppmana till åtgärder.
New Yorks justitieminister inledde en utredning. Virginia senator Mark Warner, medgrundare av senatens cybersäkerhetsråd och toppdemokraten i senatens underrättelsekommitté, sa att USA behöver lagar som begränsar den data som företag kan samla in om sina kunder.
"Det är förfluten tid att vi stiftar datasäkerhetslagar som säkerställer att företag står för säkerhetskostnader snarare än att få sina konsumenter att bära bördan och skadorna till följd av dessa förfall, ", sa Warner i ett förberett uttalande.
Marriott har haft en stenig process att slå samman sitt datorsystem med Starwood-datorer. Medlemmar i båda lojalitetsprogrammen har klagat på att poäng saknas, problem med vistelser som krediteras till deras konton och problem med gratisnätter som tjänats in på att kreditkort inte visas.
Sorenson sa att Marriott fortfarande försöker fasa ut Starwood-system.
Marriott har skapat en webbplats och ett callcenter för alla som tror att de är i riskzonen.
© 2018 The Associated Press. Alla rättigheter förbehållna.
