Souvenez-vous ! En novembre 2018, nous vous révélions que les hôtels Starwood de la chaîne américaine Marriott avaient subi une attaque de grande ampleur. La faille remontait à 2014 et pouvaient avoir touché plus de 500 millions de personnes. Cette nouvelle attaque toucherait, cette fois, 5,2 millions de clients.

Deux fuites en seulement 3 ans…

Le 31 mars, dans un communiqué de presse, le groupe hôtelier Marriott a annoncé que des millions de données ont été volées par des cybercriminels. La chaîne américaine a indiqué avoir pris contact avec l’ensemble des clients concernés, les uns après les autres. Marriott a également mis en place un site destiné à ces personnes afin de leur faire bénéficier “d’un an de protection et de surveillance gratuite” de leurs données personnelles.

Selon le communiqué, les données bancaires des clients auraient été épargnées, mais pour autant d’autres données sensibles auraient été volées, notamment les noms, dates de naissance, adresses postales, numéro de téléphone et même les numéros de carte de fidélité. Marriott indique faire face à un piratage de données d’une “quantité inattendue”.

Par le passé, Marriott avait eu des réactions étranges…

Cela aurait jouer des tours à l’entreprise américaine ? A priori, c’est possible. L’origine du vol des données serait, à nouveau une faille de sécurité dans ses systèmes. Cette faille aurait permis de récupérer des identifiants et mots de passe d’au moins deux employés.

Si cette fois, Marriott assure avoir pris contact avec chacun des clients, cette nouvelle fuite ayant récolté entre autres, les adresses mails de ses clients, cela peut laisser place à des tentatives de phishing. Cela était déjà le cas en 2018, puisque l’entreprise avait fait le choix de contacter ses clients par le biais d’une entreprise externe. L’origine du mail était donc Marriott, mais il n’indiquait rien de cela. Les réactions de la chaîne hôtelière n’étaient pas les meilleures il y a deux. Espérons donc que cette fois, Marriott aura appris de ses erreurs.

En 2018, Marriott avait été rappelé à l’ordre par l’Europe. Cela lui avait aussi valu une amende de 112 millions pour non respect du RGPD. Cette nouvelle faille pourrait lui coûter un peu plus cher encore…