Ngày 30/10, Văn phòng Ủy viên Thông tin Vương quốc Anh (ICO) ra thông báo cho biết họ đã phạt Marriott 18,4 triệu bảng Anh (khoảng 24 triệu USD) vì không bảo mật dữ liệu cá nhân của khách hàng. Theo ICO, hình phạt chỉ dành cho những vi phạm của Marriott sau khi Quy định chung về bảo vệ dữ liệu (GDPR) của EU có hiệu lực.
Tiền phạt giảm đáng kể do các biện pháp khắc phục hậu quả và ảnh hưởng đại dịch
Sự cố rò rỉ thông tin bị phanh phui vào ngày 30/11/2018. Vào thời điểm đó, Marriott nói rằng khoảng 500 triệu thông tin khách trong cơ sở dữ liệu đặt phòng khách sạn Starwood của họ có thể bị rò rỉ.
Thông tin bị phát tán bao gồm tên, địa chỉ gửi thư, số điện thoại, email, số hộ chiếu, ngày sinh, giới tính, thời gian nhận phòng và trả phòng, ngày đặt phòng và sở thích liên lạc, cũng như một số khoản thanh toán của khách hàng, bao gồm số thẻ và thời hạn hiệu lực.
Sau khi điều tra, ICO cuối cùng xác nhận số lượng khách bị ảnh hưởng là 339 triệu. Trong số đó, 30 triệu người đến từ 31 quốc gia thuộc Khu vực Kinh tế Châu Âu (EEA) và khoảng 7 triệu công dân Anh bị ảnh hưởng.
Mặc dù sự việc bị phanh phui sau khi GDPR có hiệu lực, ICO đã chỉ ra nguyên nhân của vụ việc là do Starwood Hotels bị tấn công mạng vào năm 2014 và Marriott đã phát hiện ra lỗ hổng vào tháng 9/2018 sau khi mua lại Starwood Hotels vào năm 2016.
Bằng cách cấy mã độc và cài đặt phần mềm độc hại vào thiết bị hệ thống của khách sạn Starwood, kẻ tấn công truy cập từ xa vào hệ thống với tư cách là người dùng đặc quyền và xuất dữ liệu trong cơ sở dữ liệu đặt phòng của Starwood Hotels.
Tháng 7/2019, ICO đưa ra một thông báo cho biết Marriott đã không tiến hành một cuộc điều tra đầy đủ khi mua lại Starwood Hotels và lẽ ra họ phải thực hiện nhiều biện pháp hơn để bảo vệ hệ thống của mình.
Do đó, ICO đề xuất mức phạt lên tới 99,2 triệu bảng Anh (khoảng 129 triệu USD) đối với Marriott, xấp xỉ 3% doanh thu toàn cầu của Marriott vào năm 2018. Tuy nhiên, đây không phải là quyết định cuối cùng, Marriott vẫn có cơ hội để giảm nhẹ mức phạt.
Sau đó, Marriott tuyên bố trong một tài liệu gửi lên Ủy ban Chứng khoán và Giao dịch Mỹ rằng họ "rất thất vọng" với quyết định của ICO và cho biết sẽ "bắt đầu biện hộ". Marriott nhấn mạnh rằng hệ thống đặt phòng Starwood đã bị xâm phạm trong vụ vi phạm dữ liệu không còn hoạt động thương mại.
Sau khi nhận được phản hồi từ Marriott, ICO đã công nhận trong tuyên bố vào ngày 30/10 rằng Marriott nhanh chóng xử lý và khắc phục hậu quả để giảm thiểu hại cho khách hàng, cũng như áp dụng các biện pháp cải thiện hệ thống bảo mật.
Ngoài ra, do ảnh hưởng từ đại dịch đến tình hình kinh doanh chung, cuối cùng họ quyết định phạt 18,4 triệu bảng Anh.
ICO cũng đề cập rằng vì sự cố này xảy ra trước Brexit (sự kiện Vương quốc Anh rút khỏi EU) nên ICO đóng vai trò là cơ quan giám sát chính để điều tra thay mặt cho tất cả cơ quan có thẩm quyền của EU và được các cơ quan bảo vệ dữ liệu quốc gia của EU chấp thuận.
Marriott phải đối mặt với nhiều vụ kiện tập thể
Marriott không phải là trường hợp đầu tiên lọt tầm ngắm của ICO. Ngày 16/10, Văn phòng Ủy viên Thông tin Vương quốc Anh vừa công bố mức phạt cao nhất sau khi GDPR có hiệu lực đối với British Airways khi tên, địa chỉ, số thẻ ngân hàng, mã CVV cùng thông tin cá nhân của 420.000 khách hàng và nhân viên British Airways bị lộ.
ICO cho rằng những biện pháp bảo vệ mong manh của British Airways là nguyên nhân quan trọng dẫn đến sự cố này và đưa ra mức phạt 20 triệu bảng Anh.
Tương tự như Marriott, trong thông báo ban đầu về ý định phạt do ICO đưa ra, khoản tiền phạt là 183 triệu bảng Anh, chiếm khoảng 1,5% doanh thu năm 2018 của British Airways. Sau đó, ICO tuyên bố rằng giảm tiền phạt vì tính đến tác động kinh tế của British Airways do dịch bệnh.
Một số người tin rằng động thái này làm nổi bật tác động của đại dịch đối với việc giám sát. Về khoản tiền phạt của British Airways, do các công ty liên quan đang gặp khó khăn, cơ quan quản lý chọn áp dụng một thái độ ít cứng rắn hơn về hình phạt tài chính.
Đối với Marriott, công ty có số lượng người lớn hơn và chuỗi công nghiệp toàn cầu, rắc rối mà họ phải đối mặt có thể còn nhiều hơn cả tiền phạt ICO.
Sau khi vụ việc xảy ra, Cục Điều tra Liên bang Mỹ đã bày tỏ sự quan tâm sâu sát, và tổng chưởng lý của New York, Massachusetts, Maryland và Illinois cũng bắt đầu điều tra sự việc. Chỉ tính riêng trong năm 2018, các cá nhân và công ty luật đã đệ đơn ít nhất hai vụ kiện tập thể chống lại Marriott, yêu cầu bồi thường hàng chục tỷ USD.
Theo thống kê chưa đầy đủ, tính đến thời điểm hiện tại, Marriott đã phải đối mặt với các vụ kiện ở Mỹ, Canada và những nơi khác vì vụ rò rỉ thông tin này. Trong nửa đầu năm 2019, một thẩm phán ở Mỹ đã hợp nhất 11 vụ kiện tập thể thành một. Vào tháng 2 năm nay, một thẩm phán ra phán quyết rằng vụ kiện chống lại Marriott nên tiếp tục.
Tuy nhiên, trong lịch sử, loại vụ kiện tập thể này thường mất vài năm để bước vào giai đoạn xét xử và hầu hết các trường hợp đều đạt được thỏa thuận.