La ciberseguridad de Marriott International vuelve a estar en el punto de mira esta semana después de que ciberdelincuentes hayan robado 20 GB de datos de uno de sus hoteles en Estados Unidos.
El gigante hotelero afirmó que un actor de la amenaza logró hacer ingeniería social a un “asociado” en el BWI Airport Marriott en Baltimore, Maryland, lo que les permitió exfiltrar datos del ordenador de ese individuo.
El grupo añadió que se trataba de un incidente aislado, contenido en unas pocas horas, y que no tenía “ninguna prueba de que el actor de la amenaza tuviera acceso más allá de los archivos a los que podía acceder este único asociado”, según DataBreaches.net.
Sin embargo, aunque la mayoría de los datos robados parece haber sido “archivos comerciales no sensibles”, Marriott dijo que informaría a entre 300 y 400 personas que tenían información personal sensible expuesta en el incidente.
Las capturas de pantalla proporcionadas por el actor de la amenaza parecen revelar los números completos de las tarjetas de crédito corporativas, los detalles del CVV y las fechas de caducidad de algunos huéspedes. Al parecer, los archivos de recursos humanos que contienen información sobre los empleados también se encontraban en el botín de 20 GB.
El incidente es el último en el que un tercero malintencionado ha intentado extorsionar a una organización víctima tras robar información. Ese era el modus operandi del infame grupo de amenazas Lapsus$ y pone de manifiesto una diversificación del uso de cargas útiles de ransomware para forzar el pago. Marriott dijo que se negó a pagar el rescate.
Este es también el último de una larga lista de incidentes de seguridad en Marriott International. En particular, la empresa fue multada con 18,4 millones de libras por el organismo de control de la protección de datos del Reino Unido hace dos años por “no mantener seguros los datos personales de millones de clientes”.