Με βαρύ πρόστιμο ύψους 52 εκατ. δολαρίων έρχεται αντιμέτωπη η Marriott εξαιτίας τριών περιπτώσεων παραβίασης προσωπικών δεδομένων από το 2014. Ο ξενοδοχειακό κολοσσός συμφώνησε να καταβάλλει το ποσό αυτό και να ενισχύσει τις πρακτικές ασφάλειας των δεδομένων της.
Ειδικότερα, ψήφισμα από 49 Γενικούς Εισαγγελείς των Ηνωμένων Πολιτειών και την Περιφέρεια της Κολούμπια υποχρεώνει τη Marriott να καταβάλλει το ποσό των 52 εκατ. δολαρίων σε αυτές τις οντότητες, ενώ υπάρχει και ξεχωριστή απαίτηση από την Ομοσπονδιακή Επιτροπή Εμπορίου με αποδέκτες τη Marriott και τη θυγατρική της Starwood, να εφαρμόσουν «ισχυρό πρόγραμμα ασφάλειας πληροφοριών».
Επιπλέον, η εταιρεία συμφώνησε να παρέχει σε όλους τους πελάτες της στις Ηνωμένες Πολιτείες έναν τρόπο να ζητούν τη διαγραφή των προσωπικών πληροφοριών τους που σχετίζονται με τη διεύθυνση email τους ή τον αριθμό λογαριασμού επιβράβευσης.
Το Κονέκτικατ ηγήθηκε από κοινού της υπόθεσης που αφορά πολλές Πολιτείες. Ο γενικός εισαγγελέας της, William Tong, δήλωσε: «Οι εταιρείες έχουν την υποχρέωση να λαμβάνουν εύλογα μέτρα για την προστασία της ασφάλειας των δεδομένων των καταναλωτών. Η Marriott προφανώς απέτυχε να το κάνει αυτό, με αποτέλεσμα την παραβίαση του δικτύου υπολογιστών Starwood και την έκθεση προσωπικών πληροφοριών εκατομμυρίων επισκεπτών της».
Η Marriott ανακοίνωσε τα σχέδια εξαγοράς της Starwood το 2015, όμως στη συνέχεια η Starwood ενημέρωσε τους πελάτες της ότι δέχθηκε παραβίαση στα συστήματα δεδομένων της για περίοδο 14 μηνών, που αφορούσε στοιχεία με πληροφορίες καρτών 40.000 πελατών.
Το 2016, μόλις ολοκληρώθηκε η συγχώνευση ύψους 12,2 δισεκατομμυρίων δολαρίων, η Marriott ανέλαβε την ευθύνη για τις πρακτικές ασφάλειας δεδομένων και των δύο brand. Δύο χρόνια αργότερα, τον Νοέμβριο του 2018, η Marriott αποκάλυψε ότι μόλις είχε εντοπίσει και δεύτερη παραβίαση δεδομένων, η οποία είχε ξεκινήσει το 2014 και περιλάμβανε την αντιγραφή πληροφοριών από περίπου 340 εκατ. επισκέπτες της Starwood παγκοσμίως.
Σύμφωνα με την Ομοσπονδιακή Επιτροπή Εμπορίου των ΗΠΑ, οι ερευνητές διαπίστωσαν ότι αυτή η παραβίαση οφειλόταν σε «κακόβουλους παράγοντες» που παραβίασαν τον εξωτερικό διακομιστή ιστού της Starwood και εγκαθιστούσαν κακόβουλο λογισμικό στο δίκτυό της. Οι εισβολείς εγκατέστησαν "καταγραφείς κλειδιών, κακόβουλο λογισμικό απόξεσης μνήμης και trojans απομακρυσμένης πρόσβασης" σε περισσότερα από 480 συστήματα σε 58 τοποθεσίες εντός του συστήματος της Starwood, συμπεριλαμβανομένων εταιρικών, κέντρων δεδομένων, κέντρου επικοινωνίας πελατών και τοποθεσιών ξενοδοχείων.
Τα προσωπικά στοιχεία που διέρρευσαν κατά τη διάρκεια αυτής της παραβίασης περιλάμβαναν περισσότερους από 5,25 εκατ. μη κρυπτογραφημένους αριθμούς διαβατηρίων, αριθμούς καρτών πληρωμής, διευθύνσεις email, ονόματα χρηστών και ημερομηνίες γέννησης καθώς και αριθμούς loyalty της Starwood, πληροφορίες διαμονής, πληροφορίες πτήσης και άλλα.
Το Μάρτιο του 2020, η Marriott κατέγραψε και τρίτη κλοπή δεδομένων ανακοινώνοντας ότι χάκερ χρησιμοποίησαν τα διαπιστευτήρια σύνδεσης των εργαζομένων σε ξενοδοχείο franchise αποκτώντας πρόσβαση στο δίκτυο της Marriott. Οι εισβολείς άρχισαν να κλέβουν πληροφορίες τον Σεπτέμβριο του 2018, τον ίδιο μήνα που είχε ανακαλυφθεί και το δεύτερο περιστατατικό κλοπής, και συνέχισαν μέχρι το Δεκέμβριο του 2018, ενώ ξεκίνησαν και πάλι τη δράση τους τον Ιανουάριο του 2020 έως την ημέρα που ήρθε στο φως η διαρροή τον Φεβρουάριο του 2020. Μέχρι εκείνη τη στιγμή είχαν πρόσβαση σε πάνω από 5,2 εκατ. αρχεία επισκεπτών που σύμφωνα με την Ομοσπονδιακή Επιτροπή Εμπορίου εμπεριείχαν «σημαντικό ποσοστό» προσωπικών πληροφοριών.
Η Marriott διαχειρίζεται και παρέχει δικαιόχρηση (franchise) σε περισσότερα από 7.000 ακίνητα στις Ηνωμένες Πολιτείες και σε περισσότερες από 130 χώρες του εξωτερικού.