Volledig scherm
Het nieuwe JW Marriott hotel in Panama City. © EPA

Mega datalek bij Marriott hotels: ‘Zulke data is geliefd bij hackers’

Een na grootste lek ooitGegevens van mogelijk een half miljard hotelbezoekers zijn op straat beland. Het lek bij hotelgigant Marriot blijkt vier jaar lang niet opgemerkt, van 2014 tot september van dit jaar. 

Het zou gaan om het op een na grootste lek van persoonsgegevens ooit. 

Van ongeveer 327 miljoen gasten zijn uiterst gevoelige gegevens gelekt, met combinaties van bijvoorbeeld naam, geboortedata, telefoonnummers, e-mailadressen en paspoortnummers gelekt. In een deel van de gevallen gaat het ook om creditcardinformatie. 

Mogelijke slachtoffers Nederland

Een woordvoerster van Marriott kon niet meteen zeggen of uit de reserveringsdatabase van Marriott-dochterbedrijf Starwood ook gegevens van Nederlandse gasten zijn buitgemaakt. Zeker twee hotels in Nederland horen bij die keten. Bij een lijst met nationaliteiten van getroffen gasten wordt niet gesproken over Nederlanders, maar het onderzoek loopt nog.

Gedupeerde hotelgasten worden per e-mail geïnformeerd over het lek. Begin september ontdekte Marriott dat gegevens in de Amerikaanse Starwood-reserveringsdatabase al jaren toegankelijk waren. Een deel van de gegevens was door een externe partij versleuteld en gekopieerd, en stond op het punt te worden verwijderd. ,,Zo'n grote dataset is interessant voor kwaadwillenden, voor hackers”, zegt een woordvoerder van de Autoriteit Persoonsgegevens. ,,Op de zwarte markt worden die grote gegevenssets verhandeld, daarmee worden dan phisingmails verzonden naar klanten. Ook kan er identiteitsfraude mee gepleegd worden.” 

Meldpunt

Marriott heeft een speciale website opgetuigd voor vragen van bezoekers. Gedupeerden kunnen zich een jaar gratis inschrijven op een dienst die bijhoudt of hun gelekte gegevens op verdachte plekken opduiken. Daarnaast heeft Marriott de toezichthouders en justitie op de hoogte gebracht.

De New Yorkse openbaar aanklager heeft aangekondigd een onderzoek te beginnen naar het datalek. ,,New Yorkers hebben er recht op te weten dat hun persoonlijke informatie beschermd wordt", liet openbaar aanklaagster Barbara Underwood via Twitter weten. De hotelgigant zou hebben nagelaten de New Yorkse autoriteiten in te lichten over het datalek, en dat is tegen de wet. Ook justitie in de staat Illinois onderzoekt de kwestie.

Overzicht grootste datalekken ooit


YAHOO: Nog nooit zijn er zo veel gegevens gestolen als bij Yahoo in 2013. Hackers maakten de persoonsgegevens buit van alle klanten van het bedrijf. In totaal ging het om 3 miljard accounts. De dieven kregen onder meer namen, wachtwoorden en telefoonnummers in handen. En een jaar later deden ze het nog eens dunnetjes over. Toen verloor Yahoo een half miljard gegevens. De lekken leidden uiteindelijk het vertrek in van topvrouw Marissa Mayer. Twee Russische hackers zouden achter de roof zitten, in opdracht van twee spionnen van de Russische geheime dienst FSB. Een van de twee dieven is in mei veroordeeld tot vijf jaar cel en een boete van omgerekend bijna 2 miljoen euro.

FRIENDFINDER: Hackers breken in 2016 in bij een slecht beveiligde database van Adult FriendFinder. Dat was het moederbedrijf van naaktblad Penthouse (inmiddels verkocht), webcamsite Cams.com en datingsites als FriendFinder, Amigos.com en BigChurch. De cyberdieven stelen gebruikersnamen, e-mailadressen en wachtwoorden van 412 miljoen gebruikers. Die gegevens worden openbaar gemaakt.

ADOBE: Bij softwarebedrijf Adobe worden in 2013 zo’n 152 miljoen gebruikersnamen en versleutelde wachtwoorden gestolen. Adobe is vooral bekend van programma’s als Photoshop, Flash en Acrobat en van het PDF-format.

EBAY: In 2014 worden gegevens van 145 miljoen gebruikers gestolen bij veilingsite eBay. Het gaat onder meer om namen en e-mailadressen, en mogelijk ook om wachtwoorden.

EQUIFAX: Cybercriminelen krijgen in 2017 bij kredietbureau Equifax toegang tot de persoonlijke identificatienummers, creditcardgegevens, huisadressen en geboortedata van 145,5 miljoen Amerikanen en enkele miljoenen Britten en Canadezen.

FACEBOOK: Het onderzoeksbureau GSR blijkt de gegevens van 87 miljoen Facebook-gebruikers in handen te hebben gekregen. De vragenlijst This Is Your Digital Life verzamelde niet alleen de gegevens van de honderdduizenden deelnemers, maar ook van al hun vrienden. Een deel van die gegevens kwam terecht bij het bureau Cambridge Analytica. Die gegevens zouden zijn gebruikt om een profiel van mensen te maken, waarna sommigen zouden zijn bestookt met nepberichten om hun mening te beïnvloeden. Dat zou onder meer zijn gebeurd bij de Amerikaanse presidentsverkiezingen en het Britse EU-referendum.