マリオット・インターナショナルは2018年11月30日、2016年に取得したスターウッドホテルのゲスト予約データベースに不正アクセスがあったことを発表した。対象は、2018年9月10日以前の予約。2014年から不正なアクセスがあったことが判明しており、約5億人の顧客情報が含まれているとみている。
マリオットでは2018年9月8日にアクセスの警告を受け、セキュリティエキスパートチームを招聘。調査の結果、情報のコピーや暗号化が第三者によって不正に行なわれ、暗号化した情報の削除を試みた形跡もあった。2018年11月19日に暗号化された情報の復複号化に成功し、スターウッドゲスト予約データベースからコピーされた情報であることを確認した。
不正アクセスの対象となる約5億人の情報のうち、約3億2700万人は名前、郵送先、電話番号、Eメールアドレス、パスポート番号、スターウッドの会員情報、生年月日、性別、到着・出発に関する情報、予約日、連絡手段の何らかの組み合わせが含まれている。一部の顧客情報には、クレジットカードの番号と有効期限も含まれている。クレジットカード番号は暗号化しているが、復号化に必要な2つのコンポーネントが両方とも入手された可能性はないと言い切れない状態だという。
それ以外の人は、名前のみで、一部郵送先やEメールアドレスなどが含まれるという。
これを受けマリオットでは、専用ウェブサイトとコールセンターを開設。消費者からの質問に対応する。これ以外にも、ゲスト予約データベースに登録されているEメールへの通知を順次開始したほか、様々なサイトをモニターし、個人情報の使用が見つかった場合にアラートを出す無料のウェブウォッチャーの登録も受け付けている。
なお、マリオットは同事件を法執行機関に報告し、調査に協力。規制当局への報告も開始している。