A FTC ordena que Marriott e Starwood reforcem sua segurança de dados
A Comissão Federal de Comércio anunciou na sexta-feira que finalizou um pedido (pdf) exigindo que a Marriott International e sua subsidiária Starwood Hotels melhorem sua segurança digital, relata BipandoComputador. A FTC acusou as empresas de práticas de segurança negligentes que resultaram em três grandes violações detectadas em 2015, 2018 e 2020, “afectando mais de 344 milhões de clientes em todo o mundo”, vazando detalhes de passaportes, cartões de pagamento e outras informações.
A violação mais curta durou 14 meses antes de ser detectada, enquanto a mais longa viu os invasores manterem o acesso por quatro anos, começando em 2018. Os programas de segurança reforçados que eles concordaram em estabelecer incluem a criação de políticas para manter as informações apenas enquanto é necessário e publicar um link que permite aos clientes dos EUA solicitar a exclusão de informações vinculadas ao seu endereço de e-mail ou conta de fidelidade.
Os hotéis têm sido um dos principais alvos dos hackers, com uma violação no ano passado pegando a presidente da FTC, Lina Khan, entre as muitas pessoas que ficaram esperando para fazer o check-in quando um ataque de ransomware forçou o MGM Resorts a voltar a usar caneta e papel.
A FTC anunciou as suas acusações em Outubro, acusando as empresas de terem “enganado os consumidores” com falsas alegações de “segurança de dados razoável e apropriada”. Suas supostas falhas incluíam práticas incorretas de senha e firewall e não correção de software e sistemas desatualizados. No mesmo dia em que a FTC revelou as acusações, o gabinete do procurador-geral de Connecticut anunciou que a Marriott havia concordado com um acordo de US$ 52 milhões.
Além de melhorar a sua segurança, as empresas estão agora proibidas de “deturpar a forma como recolhem, mantêm, utilizam, eliminam ou divulgam informações pessoais dos consumidores; e até que ponto as empresas protegem a privacidade, segurança, disponibilidade, confidencialidade ou integridade das informações pessoais.” Outros requisitos incluem que mantenham registros de conformidade e se submetam às inspeções da FTC. A ordem vigorará por 20 anos.
As informações são do The Verge, site especializado em tecnologia
É uma publicação focada em tecnologia e seu impacto cultural.
Publicação de: Blog do Esmael
