Marriott expôs dados de 5 milhões de passaportes, mostra investigação

WASHINGTON – Os primeiros resultados da investigação do vazamento de dados na rede de hotéis Marriott constataram que a empresa não protegeu dados de 5 milhões de passaportes de clientes.

Ainda não foram divulgados quantos desses documentos pertenciam a americanos e estrangeiros. As informações foram divulgados pela própria companhia.

A empresa garantiu que outros 20,3 milhões passaportes criptografados e que, portanto, exigiam uma chave mestra de criptografia para serem acessados, se mantiveram intactos. A empresa não explicou porque apenas parte dos passaportes foram criptografados.

“Não há evidências de que terceiros não autorizados tenham acessado a chave mestra de criptografia necessária para descriptografar os outros passaportes”, disse Marriott em um comunicado.

A investigação também revisou o número de usuários afetados pelo ataque de hackers ao seu sistema de reservas. A companhia diz que foram afetados 383 milhões de clientes – anteriormente, estimava que eram 500 milhões.

O crime foi revelado pela primeira vez em novembro, quando a rede de hotéis veio a público para divulgar que foi vítima de ataques cibernéticos durante, ao menos, quatro anos. A invasão acontecia por meio do sistema de reservas online da Starwood, subsidiária que a rede comprou em 2016 e inclui as marcas St. Regis, Westin, Sheraton e W Hotels.

O número revisado, no entanto, ainda não é o final – ainda existiriam registros duplicados entre os dados roubados. Por este mesmo motivo, o número de afetados pela empresa não é mais de 500 milhões de clientes, como o divulgado na primeira vez.

Apesar da redução, o caso continua sendo a maior invasão de dados pessoais da história dos Estados Unidos. Até então, a agência de crédito ao consumidor Equifax ocupava o posto que perdeu dados, como número de carteira de motorista e de previdência social de 150 milhões de americanos, em 2017.

A Marriott também confirmou que dados de 8,6 milhões de cartões de crédito e débito foram envolvidos no incidente, mas disse que todos os dados foram criptografados. Entre os afetados, 354 mil cartões expiraram em setembro de 2018, quando a invasão foi descoberta.

(AE)