Die bei Marriott 2014 bis 2018 erbeuteten Bezahlkartendaten und Reisepassnummern von über 500 Millionen Kunden sollen nicht sicher verschlüsselt gewesen sein, wie verschiedenen Medien berichten. Das habe die Hotelkette in einem US-Gerichtsverfahren jetzt eingeräumt. Marriott hatte vormals das Gegenteil behauptet.
Marriot hat in einem Gerichtsverfahren im Zusammenhang mit einem massiven Datenschutzverstoß im Jahr 2018 zugegeben, dass seinerzeit einen sogenannten Hash-Algorithmus 1 und nicht die viel sicherere AES-1-Verschlüsselung verwendete, wie zuvor behauptet.
Mehr als fünf Jahre lang hat Marriott sich mit dem Argument verteidigt, dass seine Verschlüsselungsstufe (AES-128) so stark sei, dass die Klage gegen das Unternehmen abgewiesen werden sollte. Die Anwälte der Hotelkette gaben jedoch in einer Anhörung am 10. April zu, dass AES-128 zum Zeitpunkt des Einbruchs nicht verwendet wurde, wie Medien berichten.
Tatsächlich hatte sie zu dieser Zeit überhaupt den Secure Hash Algorithm 1 (SHA-1), der allerdings eine Hashing-Mechanismus und keine Verschlüsselung ist.
Während der Anhörung vor dem US-Bezirksgericht für den District of Maryland Southern Division wies Richter John Preston Bailey Marriott an, „die Informationen auf seiner Website innerhalb von sieben Tagen zu korrigieren“.
Marriott gab weder eine Pressemitteilung heraus, noch wies es auf seiner Homepage auf die Änderung hin. Stattdessen fügte es zwei Sätze zu einer Seite auf seiner Website vom 4. Januar 2019 hinzu. Die einzige Möglichkeit für Verbraucher, Aktionäre, Reporter oder andere Personen, dies zu sehen, besteht darin, auf die fünf Jahre alte Seite zu klicken.
Hier steht dann aber geschrieben „Neiner Untersuchung mit mehreren führenden Datensicherheitsexperten stellte Marriott zunächst fest, dass die Zahlungskartennummern und bestimmte Passnummern in den Datenbanktabellen, die
