Marriott zgodził się zapłacić 52 miliony dolarów ugody 49 stanom i Waszyngtonowi w ciągu ok szereg z dane naruszenia które miały miejsce w latach 2014–2020 i dotknęły ponad 334 mln klientów. W ramach odrębnej umowy Federalna Komisja Handlu wymaga również od firmy Marriott i jej spółki zależnej, Starwood Hotels & Resorts Worldwide, wdrożenia programu bezpieczeństwa informacji w celu uregulowania opłat za naruszenia danych.
„Niewłaściwe praktyki firmy Marriott w zakresie bezpieczeństwa doprowadziły do wielu naruszeń, które dotknęły setki milionów klientów” – Samuel Levine, dyrektor Biura Ochrony Konsumentów FTC, – napisano w oświadczeniu. „Dzisiejsze działania FTC, we współpracy z naszymi partnerami stanowymi, zagwarantują, iż Marriott ulepszy swoje praktyki w zakresie bezpieczeństwa danych w hotelach na całym świecie”.
FTC twierdzi, iż Marriott i Starwood, które przejęła w 2016 r., oszukały klientów, twierdząc, iż zapewniają rozsądne i odpowiednie bezpieczeństwo danych, zamiast tego naraziły ich na naruszenia. W skardze złożonej przez FTC zarzucono, iż firma Marriott nie wdrożyła odpowiednich kontroli haseł, kontroli zapór sieciowych ani segmentacji sieci. Według FTC firmie nie udało się załatać przestarzałego systemu i systemów oraz nie wdrożyła uwierzytelniania wielopoziomowego.
W jednym incydencie wykrytym w 2020 roku hakerzy ukradł około 20 GB danych pracowników i klientów z BWI Airport Marriott w Baltimore w stanie Maryland. Dane obejmowały poufne dokumenty biznesowe i informacje o płatnościach klientów, w tym formularze autoryzacji karty kredytowej.
W ramach ugody firma Marriott zgodziła się zapewnić wszystkim klientom w USA możliwość zażądania usunięcia wszelkich danych osobowych związanych z ich adresami e-mail lub numerami kont w ramach programu lojalnościowego. Według FTC w wyniku naruszeń ujawniono dane paszportowe klientów, numery kart debetowych i kredytowych, daty urodzenia, adresy e-mail, numery lojalnościowe i inne informacje. Marriott ma także obowiązek sprawdzać konta programu Rewards i na żądanie przywracać klientom skradzione punkty Rewards.
