Marriott säger i ett uttalande att "den 8 september 2018 mottog vi en varning från ett internt säkerhetsverktyg om ett försök att komma över Starwoods bokningsdatabas i USA. Under den påföljande undersökningen fick Marriott reda på att det förekommit obehörig tillgång till Starwoods nätverk sedan 2014”.

Av den halva miljarden personuppgifter som befarats ha läckt ut innehåller 327 miljoner dataposter som namn, adress, telefonnummer, e-postadress, passnummer, Starwood Preferred Guest-kontoinformation, födelsedatum, kön, inchecknings- och utcheckningstider, ankomst- och avreseinformation, bokningsdatum och föredragen kommunikationskanal, skriver The Register.

Ett ospecificerat antal krypterade kreditkortsuppgifter har också läckt, men Marriott insisterar på att de var krypterade med AES-128 men påpekar att "det behövs två komponenter för att avkryptera kortnumren, och för tillfället kan vi inte utesluta att bägge dessa komponenter blivit stulna”. Det framgår inte om dessa komponenter avser hashning och saltning.

Efter att ha upptäckt läckan den 19 november hittade Marriott och deras utredare en krypterad databas på nätet på en icke-specificerad adress. Efter avkryptering upptäckte de att där fanns en komplett kopia av hela Starwoods bokningsdatabas. De hotell som påverkas av detta hack är följande:

  • W Hotels
  • St. Regis
  • Sheraton Hotels & Resorts
  • Westin Hotels & Resorts
  • Element Hotels
  • Aloft Hotels
  • The Luxury Collection
  • Tribute Portfolio
  • Le Méridien Hotels & Resorts
  • Four Points by Sheraton
  • Design Hotels som deltar i Starwood Preferred Guest-programmet
  • Timeshare-fastigheter under Starwoods varumärke

Arne Sorenson, Marriotts vd, säger i ett uttalande att han "djupt ångrar” att denna incident inträffat, och tillägger att företaget satt upp en "särskild webbsajt och en telefonsluss”.

Amerikanska rättsvårdande myndigheter har underrättats om händelsen och Marriott skickar löpande ut e-post med information till de drabbade kunderna. Den särskilda webbsidan finns här. Länken går till en sida hos säkerhetsföretaget Kroll, och där finns ett erbjudande till kunderna om att skriva upp sig på Webwatcher som informerar om läckta personuppgifter.

Sagda e-postutskick, säger Marriott, kommer från adressen starwoodhotels@email-marriott.com och "innehåller inga bilagor eller begäran om någon information från dig, och eventuella länkar leder bara tillbaka till denna sida”. Berörda kunder uppmanas att byta till starka lösenord.

Få historiska hack kommer upp i denna nivå avseende antal läckta konton. Yahoo-hacket 2013 läckte tre miljarder konton, men hacket mot Marriott kan vara det näst största hittills.

Läs också:
Ny jätteläcka av personuppgifter från flygbolag
Ny smäll för Yahoo – får punga ut en halv miljard för dataintrången