Fuite de données pour le groupe hôtelier Marriott

Posted On 31 Mar 2020

Les hôtels exploités et franchisés sous les marques Marriott de nouveau dans la tourmente d’une fuite de données. Des pirates ont pu consulter les informations de plus de 5 millions de clients.

Le groupe Marriot utilise une application centralisée qui permet d’aider les employés à fournir des services aux clients des hôtels de la société. À la fin de février 2020, Marriot a identifié qu’une quantité inattendue d’informations sur les invités pouvait avoir été consultée à l’aide des informations d’identification de deux employés. L’histoire ne dit pas si les deux employés sont les pirates.

C’est la seconde grosse fuite constatée pour cette entreprise !

« Nous pensons que cette activité a commencé à la mi-janvier 2020. explique Marriott. Dès la découverte, nous avons confirmé que les informations de connexion étaient désactivées, avons immédiatement commencé une enquête, mis en place une surveillance renforcée et organisé des ressources pour informer et aider les clients.«

Bilan, communication générale de crise pour les hôtels du groupe, aux quatre coins du globe. « Bien que notre enquête soit en cours, nous n’avons actuellement aucune raison de croire que les informations impliquées comprenaient des mots de passe ou des codes PIN de compte Marriott Bonvoy, des informations de carte de paiement, des informations de passeport, des identifiants nationaux ou des numéros de permis de conduire. » Cependant, les autres informations consultées sont aussi importantes. Des données exploitables dans une escroquerie, un hameçonnage, …

Les accès et consultations non autorisées ont permis de copier/lire : nom, adresse postale, adresse e-mail et numéro de téléphone ; numéro de compte et solde de points ; société, sexe et date et mois d’anniversaire ; programmes et numéros de fidélité des compagnies aériennes liées ; préférences de location (dates, chambre, langue, repas …).

Ce 31 mars 2020, Marriott écrit à l’ensemble des clients impliqués. Des Français, Canadiens, Allemands, Anglais … Un portail en ligne a été mis en place pour que vous puissiez vérifier votre présence, ou non, dans cette fuite de données.

Bien que l’enquête de Marriott soit en cours, la société estime actuellement que des informations peuvent avoir été impliquées pour environ 5,2 millions de clients.

Avec de telles informations, les pirates peuvent écrire aux clients. Usurper l’identité de Marriott et espérer récupérer les mots de passe du compte fidélité des clients, par exemple. Des cartes de fidélités dont les points peuvent se revendre dans des black markets comme le montre mes trois exemples ci-dessus (sur des dizaines …).

Quelques conseils.. de bon sens !

Il faut bien comprendre qu’en informatique, la cyber sécurité débute par son comportement.

Je vous conseille fortement de changer le mot de passe que vous pouvez utiliser dans les portails web de vos lieux de villégiatures.

Créer une adresse mail dédiée à vos vacances. Ne pas mélanger les correspondances. Cette adresse avec vos courriels personnels et/ou professionnels.

Ne pas utiliser votre mot de passe sur d’autres supports numériques.

D’autres conseils avant, pendant et après vos vacances.

Hôtel : les pirates et vos données

Que font les pirates de leur vol ? D’abord, mettre la main sur des informations de personnalités, de politiques, et autres « Smiert chpionam ! »

Connaitre les déplacements, les numéros de passeport, adresses postales, téléphones …. Voilà pour une première piste d’intérêt de collecte.

Ensuite, la revente des informations. Je vous ai montré, il y a peu, quelques boutiques qui revendent les informations volées à des centaines de milliers d’internautes Français. Des boutiques qui existent aussi pour des régions ciblées : Canada, Belgique, Suisse …

Le phishing (hameçonnage) et des escroqueries ciblées aux couleurs de Marriott et des clients de Marriott. La location de chambre d’hôtel par des pirates qu’ils revendront ensuite. Je vous montrais, voilà cinq ans, comment des pirates m’avaient loué pour un mois une suite royale dans plusieurs hôtels de luxe, en Afrique du Nord !

Ou encore comment il est simple de mettre la main sur des données sensibles directement dans les ordinateurs d’hôtels.

Le communiqué de presse du cabinet d’avocats de Marriott concernant sa fuite de 2018.

Marriot n’est qu’une croix sur le tableau de chasse des pirates après le groupe Barrière, les hôtels Trump (qui va me permettre de découvrir dans un Black Market les données privées et sensibles du Président des USA, NDR).

En 2014, les actions du DarkHôtel sortaient de l’ombre. Une action malveillante jetant son dévolu sur plusieurs groupes hôteliers.

En 2018, était arrêté un commerçant du black market spécialisé dans les données de clients d’hôtels.

Et que penser de ces hôtels infiltraient par des ransomwares. De leurs informations volées et qui commencent à se diffuser dans le darknet ?

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.