São cinco as medidas defensivas que os hóspedes do grupo Marriott Starwood devem ter se estão preocupados com a possibilidade das suas informações pessoais terem sido comprometidas pela enorme fuga de informação que teve lugar na última semana
Se você se preocupa com cibersegurança e/ou privacidade dos seus dados pessoais, ou se hospeda em hotéis, provavelmente já ouviu falar que a Marriott International – uma das maiores cadeias de hotéis do mundo – anunciou na última semana uma enorme violação dos dados dos seus clientes, já que envolveu todo o banco de dados de reservas Starwood. De acordo com o relatório do Washington Post, “as informações pessoais de até 500 milhões de pessoas podem ter sido roubadas”. Uma das razões pelas quais o número é tão grande é que a marca Starwood engloba várias insígnias, incluindo o Sheraton, Westin, Le Meridien, Aloft, The Luxury Collection e W Hotels. Outra razão é que, segundo fontes oficiais da empresa, uma organização de terceiros acedeu à base de dados desde 2014.
O site oficial da Starwood para obter informações sobre este cibercrime está a ser gerido pela Kroll, uma empresa com uma ampla experiência na resposta a incidentes de segurança: https://answers.kroll.com. Mas veja aqui que tipo de informação está em causa:
A. Para 327 milhões de hóspedes, combinação de nome, morada, número de telefone, endereço de e-mail, número do passaporte, informações da conta Starwood Preferred Guest (SPG), data de nascimento, sexo, informações de chegada e partida, data da reserva e preferências de comunicação.
B. Para um subconjunto desses 327 milhões: números e datas de validade de cartões de pagamento (números de cartões foram criptografados utilizando o AES-128, mas a Marriott ainda não descartou a possibilidade de os criminosos terem conseguido desencriptar os números dos cartões).
C. Para os restantes hóspedes, a exposição é limitada ao nome e, por vezes, a outros dados, como endereço postal, endereço de e-mail ou outras informações.
Considerando estes factos, aqui estão cinco medidas defensivas que você deve tomar caso se tenha hospedado em qualquer da Starwood/Marriott durante os últimos quatro anos.
1. Mude a sua senha
Uma das primeiras – e mais simples – coisas que você deve fazer com relação ao que aconteceu é alterar desde já a password de acesso às suas contas de cliente Marriott/SPG (que estão em processo de combinação). Consideramos aqui que não utilizou a mesma password noutras contas, contudo, não sendo este o caso é importante alterar também a password nessas outras contas.
2. Verifique se as suas contas são alvo de atividade suspeita
Esteja especialmente atento à verificação das transações entre os seus cartões de pagamento e as suas contas Marriott e SPG. Se detetar um pagamento que não consegue identificar, é importante notificar a sua entidade bancária imediatamente. Se notar alguma atividade incomum ou fraudulenta na sua conta Marriott ou SPG, entre em contato diretamente. Também é uma boa ideia ficar mais atento às suas outras contas de caráter financeiro, bem como ao seu extrato bancário.
Não esqueça também que os ladrões não vão conseguir usar ou vender todos os dados imediatamente, ou seja, terá de se manter vigilante das suas contas durante algum tempo.
3. Considere um congelamento de crédito
Embora o congelamento do seu crédito, mesmo que temporário, possa representar um problema para si, poderá ser muito importante na hora de impedir que ladrões criem novas contas utilizando a sua informação.
Se você não se decidir por um congelamento de crédito, poderá sempre colocar um alerta de fraude nos seus arquivos. Um alerta de fraude avisa os credores que você pode ser uma vítima de roubo de identidade e que eles devem tomar medidas adicionais para verificar se alguém que procura crédito em seu nome é realmente você.
4. Melhore a sua segurança de login
Com todas as informações que estão agora disponíveis aos criminosos deste e de outros cibercrimes recentes (nomeadamente da Equifax), existe a possibilidade que os mesmos tentem combinar dados para aceder a outras contas e serviços online. É sempre uma boa ideia garantir que tem senhas fortes e exclusivas para cada conta usada. Se você ainda não ativou a autenticação de dois fatores onde quer que ela esteja disponível, é um excelente momento para o fazer.
O Marriott é dos primeiros a disponibilizar um programa de fidelidade de viagem com autenticação de dois fatores no seu processo de login. Como a fusão com a SPG é recente, a separação dos dois programas de fidelidade é o motivo pelo qual os avisos se concentram principalmente nas contas SPG. Existe, no entanto, a expetativa que após o sucedido o processo de fusão acelere, assim como dos dois programas de fidelidade de forma a garantir uma maior segurança.
5. Cuidado com os golpes
Os cibercriminosos estão cientes de que as pessoas se sentem especialmente preocupadas com sua segurança, como resultado do incidente. Algumas pessoas podem, ironicamente, estar mais propensas a cair em táticas de engenharia social e esquemas de phishing que se focam nesse medo. Assim, nunca clique em links de e-mails com propostas de negócios que derivem de alguma forma deste cibercrime, especialmente se eles parecerem de alguma forma suspeitos. É uma boa ideia, especialmente após grandes eventos de segurança e outras crises, considerar qualquer link em um email não solicitado como potencialmente mal-intencionado. Em vez disso, você deve digitar URLs que você sabe que são genuínas diretamente no seu browser, caso necessite de entrar em contato com outras empresas.
Que mais podemos dizer?
Pela maioria das métricas, o cibercrime do Marriott Starwood é um dos maiores incidentes de segurança de dados já reportados. Em termos de número de pessoas afetadas (500 milhões), parece estar em segundo lugar apenas para o Yahoo (3 mil milhões). Em comparação, o incidente Target 2013 envolveu 70 milhões de pessoas, das quais 40 milhões tiveram dados roubados de cartões de pagamento.
No que respeita a dados comprometidos, parece que nem todos os registos da Starwood violados incluíam informações de cartões de pagamento e, felizmente, nenhum continha números de segurança social. Por outro lado, alguns detalhes do passaporte foram revelados, o que é incomum, e a presença persistente de hackers no sistema – desde 2014 – levanta a possibilidade de que os padrões de viagens e outras informações valiosas sobre os hóspedes da Starwood tenham sido recolhidos, o que pode ser utilizado no comércio ou setor bancário.
Claramente, este cibercrime tem sérias implicações negativas para o Marriott e Starwood, não apenas por causa do impacto, mas também porque parece não ter sido detetado durante o processo de aquisição dos Starwood Hotels and Resorts pelo Marriot International, por 13,6 mil milhões de dólares, em 2015. De acordo com o pesquisador da ESET Stephen Cobb, todas as marcas envolvidas podem agora esperar sofrer elevados prejuízos, nomeadamente ao nível da reputação, bem como ser alvo de múltiplas ações judiciais: “Haverá ações judiciais coletivas movidas por clientes e acionistas, bem como investigações potencialmente prejudiciais por parte de todos os procuradores gerais nos EUA, assim como de autoridades de proteção de dados na UE; é importante não esquecer que este é o maior cibercrime desde que o GDPR entrou em vigor. ”
