Marriott e Starwood Forçados a Melhorar Segurança Digital Após Sanção da FTC
A Comissão Federal de Comércio dos EUA (FTC) anunciou na última sexta-feira que finalizou uma ordem exigindo que a Marriott International e sua subsidiária, Starwood Hotels, melhorem sua segurança digital. Segundo o BleepingComputer, a decisão segue uma série de violações de dados severas que afetaram milhões de clientes ao redor do mundo.
Histórico das Violações e Consequências
A FTC acusou as empresas de práticas de segurança frágeis resultando em três grandes brechas de segurança, ocorridas em 2015, 2018 e 2020, que afetaram mais de 344 milhões de clientes, vazando informações como detalhes de passaporte e cartões de pagamento.
- A brecha mais curta durou 14 meses antes de ser descoberta.
- A mais longa permitiu que os atacantes mantivessem acesso ao sistema por quatro anos, a partir de 2018.
Como parte das medidas para reforçar a segurança, as empresas concordaram em implementar políticas que limitam a retenção de informações apenas ao necessário e também publicar um link que permite que os clientes nos EUA solicitem a exclusão dos dados associados ao seu e-mail ou conta de fidelidade.
Setor Hoteleiro em Alerta
Os hotéis têm sido alvos frequentes de hackers. Um incidente notório no ano passado deixou a presidente da FTC, Lina Khan, entre os muitos clientes que tiveram que esperar para fazer o check-in devido a um ataque de ransomware que forçou o MGM Resorts a voltar ao uso tradicional de papel e caneta.
Acusações e Acordos Legais
A FTC trouxe suas acusações em outubro, alegando que as empresas enganaram os consumidores com declarações de segurança de dados que não eram “razoáveis ou apropriadas”. As falhas alegadas incluíam práticas inadequadas de senhas e firewalls, além de não atualizarem softwares e sistemas obsoletos. No mesmo dia, o escritório do Procurador Geral de Connecticut anunciou que a Marriott concordou em um acordo de $52 milhões.
Novas Restrições e Monitoramento
Além de melhorar a segurança, as empresas agora estão proibidas de “falsificar” como coletam, mantêm, utilizam, excluem ou divulgam as informações pessoais dos consumidores. Elas também devem manter registros de conformidade e se submeter a inspeções da FTC. A ordem estará em vigor por 20 anos.
Essa decisão da FTC é um passo importante para garantir que grandes corporações respeitem a privacidade de seus clientes. No entanto, é sempre válido questionar: será que essas medidas serão suficientes para realmente proteger os consumidores no mundo digital?