Esse tem sido um péssimo mês para a rede de hotéis Marriott International. Nesta terça-feira (31), a companhia revelou que foi hackeada mais uma vez, com registros de até 5,2 milhões de clientes expostos.

Não foi a única má notícia. Na semana passada, a companhia deu uma licença temporária para milhares de funcionários após as reservas de hospedagem despencar devido ao surto causado pelo novo coronavírus. Além disso, o preço de suas ações despencou mais de 50% desde o início do ano.

Esse é o terceiro ciberataque bem-sucedido contra a Marriott nos últimos 18 meses, de acordo com o Wall Street Journal.

Desta vez, o estrago é bem menor do que a invasão de 2018 que expôs mais de 500 milhões de registros de clientes e rendeu uma multa de US$ 124 milhões, além de outras responsabilidades legais, à rede hoteleira.

O novo vazamento também parece envolver dados menos sensíveis. Por outro lado, ele é muito maior do que o vazamento revelado em outubro de 2019, quando dados de 1.552 funcionários, incluindo nomes, endereços e números da Segurança Social (equivalente ao CPF no Brasil) foram obtidos.

Os atacantes podem ter roubado até 5,2 milhões de registros de participantes do programa de fidelidade Marriott Bonvoy, segundo um comunicado à imprensa da companhia. As informações expostas, incluem detalhes de contato e endereço, dados do programa de fidelidade e informações pessoais como empregador, sexo e aniversário.

A rede de hotéis acredita que o ataque começou em janeiro de 2020, embora não tenha notado até o final de fevereiro.

A Marriot escreveu no comunicado que não havia provas de que os atacantes pudessem acessar qualquer informação de pagamento, como números de cartão de crédito e PINs. Disse o mesmo para as senhas de clientes, passaportes e números de identificação.

No entanto, vazamentos como esse podem ajudar os criminosos a aplicar golpes de phishing mais sofisticados que visam enganar os usuários expostos a entregar as credenciais bancárias.

O porta-voz da Marriott, Brendan McManus, disse ao WSJ que quem quer que estivesse por trás do ataque usou credenciais de login de dois funcionários de um hotel franqueado na Rússia. Ele se recusou a comentar sobre a possibilidade de esses funcionários serem suspeitos, dizendo que a “investigação está em andamento, e é muito prematuro comentar sobre isso”.

“A maioria dos vazamentos poderiam simplesmente ser evitados com autenticação em dois fatores”, disse David Kennedy, CEO da empresa de cibersegurança TrustedSec, à Wired. “Para qualquer tipo de acesso elevado, as organizações deveriam estar alavancando controles de segurança aprimorados. A autenticação multifator deve ser aplicada para todos. E para contas importantes que têm altos níveis de acesso, o escrutínio da segurança deve ser ainda mais extenso.”

Rusty Carter, presidente da empresa de cibersegurança Arxan Technologies, disse à Wired que “há questões pendentes sobre a segurança das APIs da Marriott e como os hotéis podem acessá-las.”

A Marriott disse que enviou um e-mail para os usuários envolvidos na violação a partir do endereço marriott@email-marriott.com, e pedirá para os clientes habilitarem a autenticação de dois fatores nas contas do programa de fidelidade e, além disso, estenderá um ano dos serviços de monitoramento para os afetados.

De acordo com o WSJ, o escritório do Comissário de Informação do Reino Unido – que aplicou a multa de US$ 124 milhões no último vazamento – disse que estava em contato com a empresa.