Bei einem Tochterunternehmen des US-Hotelkonzerns Marriott sind durch einen "nicht autorisierten Netzwerkzugriff" Daten von bis zu 500 Millionen Hotelgästen abgegriffen worden. Das teilte der Konzern mit und erklärte, dass es es sich bei rund 327 Millionen Kunden um eine Kombination von Name, Adresse, Telefonnummer, E-Mail-Adresse, Passnummer, Geburtsdatum, Geschlecht, Ankunftsdatum, Abreiseinformation, Reservierungsdatum und mehr handelt.

Auch Bezahlinformationen betroffen

Teilweise seien außerdem Bezahlinformationen (Bezahlkartennummer und Ablaufdatum) betroffen. Die seien aber per AES-128 verschlüsselt. Marriott kann jedoch nicht ausschließen, dass die zur Entschlüsselung nötigen Daten ebenfalls abgegriffen wurden. Bei den restlichen rund 170 Millionen Gästen seien lediglich Namen und Adressinformationen betroffen.

Der Zugriff erfolgte demnach über die IT-Systeme der Konzerntochter Starwood. Zu der gehören die Marken W Hotels, St. Regis, Sheraton Hotels & Resorts, Westin Hotels & Resorts, Element Hotels, Aloft Hotels, The Luxury Collection, Tribute Portfolio, Le Méridien Hotels & Resorts, Four Points by Sheraton und Design Hotels. Betroffen sein könnten alle Kunden, die vor dem 10. September 2018 eine Reservierung in einem dieser Hotels gemacht haben.

Nicht viel Hilfe für die Kunden

Marriott "bedauert den Vorfall zutiefst" und hat nach eigenen Angaben rasch eine gründliche Untersuchung eingeleitet. Das Unternehmen war nach eigenen Angaben am 8. September auf den Einbruch aufmerksam gemacht worden. Der Konzern hat dazu nun eine eigene Informationsseite eingerichtet, noch finden sich darauf aber nicht viel mehr Details. Kunden in den USA, Kanada und Großbritannien werden auf WebWatcher verwiesen, um einen Missbrauch ihrer Daten zu finden. Anderen werden lediglich allgemeine Sicherheitstipps gegeben, vor allem sollten sie Kontenbewegungen im Auge behalten. (mho)