Fin novembre, le groupe hôtelier révélait avoir été victime d’un vol des données de ses clients. Si le nombre de victimes de la cyberattaque était estimé à 500 millions de personnes initialement, Marriott revoit ce chiffre à la baisse, à 383 millions maximum tout de même, et fournit quelques précisions sur les informations dérobées.
Le 30 novembre, le groupe Marriott révélait qu’une faille du système informatique de Starwood, un autre hôtelier racheté en 2016, avait permis à des attaquants d’accéder à la base de données de réservation. Et ce depuis 2014. Selon ses premières estimations, avaient fuité les données de 500 millions de clients : noms, adresses postales, numéros de téléphone, adresses électroniques, numéros de passeport, date de naissance, sexe, informations d'arrivée et de départ, date de réservation et, dans certains cas, informations bancaires.
Un mois plus tard, le groupe revient sur ces chiffres et revoit le nombre de victimes du vol à la baisse. Selon un communiqué, ce sont finalement « environ 383 millions d'enregistrements en tant que limite maximale pour le nombre total d'enregistrements d'invité impliqués dans l'incident ». Mais attention, il est très probable, prévient Marriott, qu’il ne s’agisse pas de 383 millions de clients : « il semble y avoir plusieurs enregistrements pour le même invité ». Toutefois, l’hôtelier n’est pas encore parvenu à quantifier le nombre exacts de personnes affectées.
Des informations bancaires non chiffrées ?
Dans le détail, Marriott estime que 5,25 millions de numéros de passeport non chiffrés font partie des informations dérobées, de même que 20,3 millions de numéros de passeport chiffrés. « Rien ne prouve que le tiers non autorisé ait accédé à la clé de chiffrement principale nécessaire pour [les] déchiffrer » précise la chaîne hôtelière.
De même, les informations de 8,6 millions de cartes de paiement, chiffrées elles aussi, sont concernées. Encore une fois, rien n'indique dans l’enquête que l’attaquant ait eu accès à l'un des composants nécessaires pour déchiffrer les numéros de carte de paiement. Toutefois, elle n’exclut pas que la base de données ait pu contenir un certain nombre d’informations non chiffrées « par inadvertance ». Ce qui pourrait concerner jusqu’à 2000 cartes de paiement. Enfin, Marriott annonce avoir achevé la suppression de la base de données de réservation Starwood à la fin de l’année passée, toutes les opérations étant désormais effectuées par le biais des systèmes propres à Marriott.