Το 2018, η Marriott αντιμετώπισε μια μαζική παραβίαση που εξέθεσε τα στοιχεία 500 εκατομμυρίων επισκεπτών για μια περίοδο τεσσάρων ετών. Εκείνη την εποχή, η Marriott ισχυρίστηκε ότι τα δεδομένα της ήταν ασφαλισμένα με κρυπτογράφηση AES-128, αλλά τώρα παραδέχεται ότι κάτι τέτοιο δεν ίσχυε.
Σε μια ακρόαση τον Απρίλιο για μια υπόθεση που αφορούσε πελάτες οι οποίοι μήνυσαν την αλυσίδα ξενοδοχείων, η Marriott αναγνώρισε ότι τα συστήματά της δεν ήταν κρυπτογραφημένα και αντ' αυτού χρησιμοποιούσε ασφαλή αλγόριθμο κατακερματισμού 1 (SHA-1), ο οποίος δεν πληροί τις προϋποθέσεις κρυπτογράφησης. Ο δικαστής της υπόθεσης διέταξε τη Marriott να ενημερώσει αμέσως τον ιστότοπό της με αυτές τις πληροφορίες.
Όπως αναφέρει το CSO Online, η Marriott προέβη πράγματι στην αλλαγή, αλλά το έκανε σε μια ιστοσελίδα που δημιουργήθηκε το 2019 και δεν έστειλε στους πελάτες κανενός είδους ειδοποίηση. Η ειδοποίηση έχει ως εξής:
"Έπειτα από έρευνα με διάφορους κορυφαίους εμπειρογνώμονες σε θέματα ασφάλειας δεδομένων, η Marriott διαπίστωσε αρχικά ότι οι αριθμοί καρτών πληρωμής και ορισμένοι αριθμοί διαβατηρίων στους πίνακες της βάσης δεδομένων που εμπλέκονται στο περιστατικό ασφάλειας της βάσης δεδομένων της Starwood, το οποίο η Marriott ανέφερε στις 30 Νοεμβρίου 2018, προστατεύονταν με τη χρήση κρυπτογράφησης Advanced Encryption Standard 128 (AES-128). Η Marriott έχει πλέον διαπιστώσει ότι οι αριθμοί καρτών πληρωμής και ορισμένοι από τους αριθμούς διαβατηρίων στους εν λόγω πίνακες προστατεύονταν αντ' αυτού με μια διαφορετική μέθοδο κρυπτογράφησης, γνωστή ως Secure Hash Algorithm 1 (SHA-1)".
Δεν είναι σαφές πώς η Marriott κατάφερε να παραποιήσει τη ρύθμιση ασφαλείας της. Όπως σημειώνει το CSO Online, η εταιρεία προσέλαβε τρίτες εταιρείες ασφάλειας -συμπεριλαμβανομένων των Accenture, Verizon και CrowdStrike- για να πραγματοποιήσει έλεγχο. Μήπως σε όλους αυτούς διέφυγε το γεγονός ότι τα συστήματα της Marriott δεν ήταν κρυπτογραφημένα; Οι δικηγόροι της Marriott θα ήθελαν να το πιστεύετε. "Μόλις πρόσφατα η Marriott είχε λόγο να αμφισβητήσει" τους ισχυρισμούς περί κρυπτογράφησης, λέει η δικηγόρος της Marriott, Lisa Ghannoum.
Οι ειδικοί που μίλησαν στο CSO Online ήταν επιφυλακτικοί. Για παράδειγμα, η Marriott έπρεπε να ενσωματώσει τα συστήματά της με την Starwood Hotels & Resorts Worldwide όταν απέκτησε την εν λόγω αλυσίδα το 2015, κάτι που θα απαιτούσε γνώση για το "σύστημα κρυπτογράφησης".
Το 2020, η Marriott υπέστη άλλη μια παραβίαση που έπληξε επιπλέον 5.2 εκατομμύρια επισκέπτες.