Lagi, Data Breach Bikin Marriott Digiring ke Ranah Hukum
Ilustrasi
Cyberthreat.id - Firma hukum Morgan & Morgan mengumumkan telah mengajukan gugatan Class Action terhadap jaringan hotel Marriott atas pelanggaran data yang baru-baru ini diungkapkan dan telah mempengaruhi setidaknya 5,2 juta orang.
Pengaduan diajukan di Distrik Maryland pada Kamis (2 April 2020) menuduh jaringan Marriott dengan sejumlah kegagalan serta melakukan kelalaian, pelanggaran kontrak, pelanggaran kepercayaan, dan praktik perdagangan yang menipu, dan tidak adil.
Marriott disebut gagal mengambil langkah yang memadai dan masuk akal untuk memastikan sistem data mereka dilindungi terhadap intrusi yang tidak sah (akses ilegal). Marriott juga gagal membuktikan mereka memiliki sistem komputer dan praktik keamanan yang cukup kuat untuk melindungi Personally Identifiable Information (PII) tamu.
Marriott juga dinilai gagal mengambil praktik standar untuk mencegah Pelanggaran Data. Marriott juga gagal memantau dan mendeteksi Pelanggaran Data tepat waktu, dan gagal memberikan pemberitahuan yang cepat dan akurat tentang Pelanggaran Data kepada Penggugat dan Anggota Kelas (class member).
Sebelumnya pada Selasa (31 Maret 2020) Marriott mengakui seseorang mungkin telah mencuri informasi hingga 5,2 juta tamu setelah mengakses aplikasi internal menggunakan kredensial dua karyawan di properti waralaba. Aplikasi yang dimaksud digunakan oleh hotel milik perusahaan dan pemilik waralaba untuk memberikan layanan kepada para tamu.
"Investigasi atas insiden tersebut mengungkapkan akses ilegal kemungkinan dimulai pada pertengahan Januari. Pelanggaran itu ditemukan pada akhir Februari," tulis Security Week, Kamis (2 April 2020).
Berbagai jenis informasi diungkapkan seperti nama, alamat surat menyurat, email, nomor telepon, nomor akun loyalitas dan saldo poin, nama perusahaan, jenis kelamin, hari dan bulan kelahiran, informasi tentang preferensi pelanggan, dan detail tentang kemitraan dan afiliasi.
Marriott percaya password atau PIN Bonvoy, informasi paspor, informasi kartu pembayaran, ID nasional atau nomor SIM belum dikompromikan atau tidak diekspos dalam pelanggaran tersebut. Meski demikian, password Bonvoy telah diatur ulang dan tamu yang terkena dampak telah ditawarkan layanan perlindungan identitas secara gratis selama satu tahun.
Pelanggaran Pertama Lebih Parah
Pelanggaran kedua ini relatif kecil dibandingkan dengan insiden data breach yang diungkapkan Marriott periode November 2018. Ketika itu pelanggaran data berdampak kepada sekitar 383 juta orang yang pernah menginap di jaringan hotel mereka seperti Starwood.
"Perusahaan besar ini tahu risiko yang ditimbulkan oleh penjahat cyber dan terus menjadi angkuh dengan informasi pribadi pelanggan mereka. Sungguh menakjubkan jaringan sekelas Marriott membela pelanggaran data yang signifikan. Kami menduga, mereka tidak akan lebih berhati-hati untuk mengamankan informasi pelanggannya," tulis pengacara Morgan & Morgan, John Morgan dan John Yanchunis, dalam sebuah keterangan.
"Fakta bahwa pelanggaran ini terjadi kurang dari dua tahun setelah pelanggaran pertama yang diketahui sangat memberatkan. Dan perusahaan ini harus dimintai pertanggungjawaban."
Lebih lanjut, pengacara itu menyatakan "ketika tamu menginap di hotel, mereka percaya hotel akan memberikan keamanan yang memadai - baik perlindungan fisik maupun perlindungan informasi pribadi pelanggan".
"Tampaknya kepercayaan jutaan orang yang dipercayakan ke Marriot tidak dijaga dengan baik."
