Een diefstal bij dochterbedrijf Starwood van de Marriottt-hotelketen heeft ervoor gezorgd dat de informatie van een half miljard klanten op straat ligt. Dat is best veel. De toegang tot het klantenbestand van Starwood bleek al sinds 2014 (!) open te liggen.
De gestolen gegevens liegen er niet om, onder andere paspoortnummers, geboortedata, geslacht, e-mailadressen, telefoonnummer en in sommige gevallen ook creditcardgegevens, inclusief vervaldatum.
Het is een groot lek, maar Yahoo spant de kroon met drie miljard gestolen accountgegevens, al zaten daar geen paspoortnummers bij. Desalniettemin blijft het dramatisch slecht gesteld en waarom moet zo’n bedrijf al die gegevens hebben? Hoog tijd voor een veiliger toekomst waarbij bezit van gegevens bij de gebruiker blijft.
Voor het zover is, wat is volgens u een gepaste straf of is ‘straf’ niet zo zinvol in zo’n geval?
Organisaties dienen veiliger om te gaan met de informatie van hun klanten. Daarnaast moeten organisaties meer aandacht besteden aan hoe klanten toegang hebben tot hun data. Dit is overwegend gebruikersnaam en wachtwoord wat nog steeds de deur wagenwijd open zet voor hackers. Organisaties hebben een plicht hun gebruikers op een veilige manier te laten inloggen. Dit kan bijvoorbeeld met biometrie wat identiteitsdiefstal en fraude uitsluit.
Organisaties met grote klantbestanden (zeg vanaf 50.000 à 100.000) zouden hun webportalen en andere toegangspunten verplicht periodiek moeten laten (pen)testen door onafhankelijke deskundigen. Als ze dat niet doen en er komt wel een lek aan het licht, dan mag er een boete volgen die circa 5 tot 1000 maal zo hoog is als de jaarlijks kosten van de veiligheidscontrole, afhankelijk van de vertrouwelijkheid van de gegevens en de ernst van het lek.