Mint kiderült, a támadók a Marriott által még 2016-ban megszerzett Starwood szállodalánc adatbázisához fértek hozzá 2014 óta, amit a tranzakció során sem vett észre senki, és az elmúlt négy évben neveket, e-mail címeket, útlevélszámokat és fizetéssel kapcsolatos információkat szereztek meg.

Arne Sorenson, a szállodalánc vezérigazgatója közleményében azt írta, hogy rettenetesen sajnálják, hogy ez megtörténhetett, és mindent megtesznek, hogy segítsenek az érintetteknek. A Marriott már fel is állított egy segélyvonalat, illetve egy honlapot, emellett pedig külön is megkereste a vendégeit. A szakértők egyelőre nem tudják megmondani, hogy a hekkereknek csupán személyazonosság-lopás volt a céljuk, vagy valamelyik állam által megbízott kémekről van szó, akik diplomatákról, üzletemberekről és hírszerzőkről próbáltak információkat szerezni. Azt sem tudni egyelőre, hogy a Marriott milyen mértékben titkosította a tárolt adatokat: azt ugyan már megerősítették, hogy a bankkártyaszámokat titkosították, de az nem derült ki, hogy a többi személyes adattal is hasonlóan jártak-e el. A cég ráadásul arra is rámutatott, hogy jelenleg nem tudják kizárni azt a lehetőséget sem, hogy a hekkerek a titkosításhoz használt kódokat is ellopták.

A szállodalánc egyébként szeptember elején már tudott a támadásról, de november 19-éig nem tudták megállapítani, hogy pontosan milyen adatokat loptak el, mert a hekkerek saját titkosítással próbálták leplezni az akciójukat. Az ügyben pénteken New York, Maryland és Pennsylvania államban is nyomozás indult. Utoljára egyébként 2016-ban derült fény hasonló volumenű hekkertámadásra, amikor a Yahoo bejelentette, hogy félmilliárd felhasználója személyes adatait lopták el még 2014-ben. Az a támadás végül nemcsak szög volt a Yahoo koporsójába, de még az amerikai választást is manipulálta.

Az ügyet az is bonyolítja, hogy most már az akkor még nem létező GDPR-ral is számolnia kell a Marriottnak, a britek pedig már be is jelentették, hogy nyomoznak az ügyben, így elég valószínűnek tűnik, hogy a Facebook után újabb amerikai székhelyű cég kaphat bírságot valamelyik európai adatvédelmi hatóságtól.