Nachdem es im November 2018 zu einer großen Datenpanne bei der Hotelkette Marriott kam, warteten viele Kunden auf Informationen. Nachdem es zuletzt möglich war, eine Anfrage über eine entsprechende Website zu stellen, scheint Marriott nun die ersten Kunden über die gestohlenen Daten zu informieren.
Es war einer der größten Datendiebstähle in der Reisebranche, den Marriott Ende des letzten Jahres bekannt machte. Von 2014 bis September 2018 sollen unberechtigte Dritte hunderte Millionen von Daten aus dem Reservierungssystem von Starwood gestohlen haben. Die Hotelkette Starwood wurde von Marriott erst 2017 gekauft und in den Konzern integriert. Bei den gestohlenen Daten handele es sich um die Daten von bis zu 500 Millionen Gästen, ließ Marriott damals verlauten.
Betroffene erhalten Rückmeldung zur Datenprüfung
Zwischenzeitlich korrigierte man die Zahl der betroffenen Gäste auf “nur” 383 Millionen hinunter. Auch zu den betroffenen Daten äußerte man sich. Die meisten der Daten seien verschlüsselt gewesen. Trotzdem wurden aus den Datensätzen auch etwa 5,25 Millionen unverschlüsselte Passdaten gestohlen. Daneben sind in den Datensätzen zahlreiche Mail-Adressen, Kundennummern und auch Zahlungsdaten erfasst gewesen. Seit diesem Update war es sehr still um das weitere Vorgehen der Hotelkette. Zum Ärgernis vieler Kunden gab es kaum weiterführende Informationen. Auch wer konkret betroffen ist, ließ sich bis dato nur mutmaßen. Zuletzt räumte Marriott seinen Kunden allerdings eine Möglichkeit ein, überprüfen zu lassen, ob diese von der Datenpanne betroffen sind.
Nun scheint es, als würde Marriott den ersten Kunden ein Feedback zu den gestohlenen Daten geben. Zumindest haben unsere Kollegen von The Points Guy entsprechende E-Mails von Marriott erhalten, aus denen hervorgeht, welche Daten gestohlen wurden. Dabei listet die E-Mail detailliert auf, welche Daten mutmaßlich in fremde Hände gelangt sind. Darunter sind vor allem Kontaktdaten, Informationen zur Person selbst und Aufzeichnungen das Loyalitätsprogramm betreffend.
“Dear XYZ,
We are in receipt of your inquiry regarding whether your personal data was involved in the recent Starwood Guest Reservation Database security incident. Based on the information you provided to us, we believe that your information was involved. Following our analysis, we believe that the following information about you was involved in the incident:
* Name
* Birthdate
* Birthday (Month and Day Only)
* Address Information
* Primary Email Address
* Primary Phone Number
* Other Phone Information
* Starwood Preferred Guest (SPG) Number
* Starwood Preferred Guest (SPG) Loyalty Status and Balances
* Guest Frequent Traveler Program Information
* Starwood Executive Traveler Number
* Guest Opt-In Preferences
* Email Communication Preferences
* Reservation Details
* Central Starwood Unique Record Locator
* Employed at Starwood (Y/N)
* Record History InformationWhere available in your country/region, Marriott is offering affected guests the opportunity to enroll in a personal information monitoring service free of charge for one year. More information about this service can be found at info.starwoodhotels.com. If you have further questions or requests regarding this information, please contact us through this portal. You will continue to have access to this request for the next 30 days.
Thank you.
Marriott Privacy Center”
Außerdem bietet Marriott in der E-Mail die Teilnahme an einem Informationssystem an, das die Nutzung persönlicher Daten beobachtet. Diese Services sind zum Teil mit hohen Kosten verbunden, die Marriott für betroffene Kunden aber für ein Jahr übernimmt. Mehr Informationen dazu gibt es auf einer speziellen Website. Auch andere Nutzer und Blogger berichten über eine ähnliche E-Mail, sodass bei fast allen Betroffenen wohl nahezu dieselben Daten gestohlen wurden.
Marriott CEO spricht vor US-Senat
In einer Anhörung vor dem US-Senat äußerte sich der Geschäftsführer von Marriott letzte Woche noch einmal zu dem Vorfall. Dabei bestätigte er nochmal, dass man davon ausgeht, dass etwa 19 Millionen Passdaten gestohlen wurden, von denen etwa 5 Millionen unverschlüsselt waren. Betroffene Kunden würden von Marriott aber eine Erstattung der Kosten für einen neuen Pass erhalten. Nähere Informationen hierzu sollen in der nächsten Zeit bekanntgegeben werden.
Marriott habe außerdem ein Unternehmen beauftragt, das im Darknet Ausschau nach Daten aus den gestohlenen Datensätzen hält. Noch immer weiß man nämlich nicht, von wo der Angriff auf die Server der Hotelkette kam. Wenn Ihr betroffen seid, könnt Ihr über das Tool des Unternehmens auch Eure Daten überprüfen lassen. Tauchen diese im Darknet auf, werdet Ihr umgehend darüber informiert.
Marriott informiert Kunden über gestohlene Daten – Fazit
Bisher war das Vorgehen von Marriott zur Datenpanne wenig vorbildlich. Sicherlich sind es riesige Datensätze, die gestohlen wurden, sodass auch eine Aufarbeitung womöglich etwas länger dauert. Doch stehen hinter den Datensätzen auch Kunden, die nun bereits seit Monaten auf Gewissheit warten, ob Ihre Daten gestohlen wurden oder nicht. Immerhin werden nun scheinbar die ersten Kunden über die gestohlenen Daten informiert und man arbeitet weiter an einer Aufarbeitung des Vorfalls. Dass man seine Daten tracken lassen kann, ist sicherlich hilfreich, hilft vielen aber dennoch nicht weiter. Leider ist Marriott mit seinen Updates immer recht sparsam. Wir werden also weiter warten müssen, wie es sich mit den Datensätzen entwickelt und ob diese irgendwann irgendwo auftauchen.
Hat jemand von Euch eine Anfrage bei Marriott gestellt und wurde bereits über einen möglichen Diebstahl der eigenen Daten informiert?