Gegevens van maar liefst 500 miljoen Mariott hotelbezoekers zijn gelekt. Criminelen hebben gedurende een periode van 4 jaar toegang gehad tot een reserveringsdatabase van dochterbedrijf Starwood. Het datalek betreft gegevens van de periode 2014 tot september 2018.

In 327 miljoen gevallen gaat het om bijzonder gevoelige gegevens. Het gaat om namen, geboortedata, telefoonnummers, e-mailadressen en paspoortnummers. In een aantal gevallen gaat het tevens om creditcardinformatie. De creditcardinformatie is volgens Mariott wel met AES-128 versleuteld.

Op 8 september 2018 kreeg Marriott een waarschuwing van een intern beveiligingspprogramma dat een poging om toegang te krijgen tot de Starwood-reserveringsdatabase registreerde. Nader onderzoek maakte meteen duidelijk dat er al sinds 4 jaar ongeautoriseerde toegang was tot het Starwood-netwerk.

De keten waarschuwt momenteel gedupeerden via e-mail en heeft een informatiepagina gepubliceerd. Ook heeft de keten een callcenter geopend om vragen omtrent het datalek te kunnen beantwoorden.

Het betreft het een na grootste datalek ooit. In 2013 meldde Yahoo een datalek dat nog groter was, hier ging het uiteindelijk om drie miljard accounts.

De New Yorkse openbaar aanklager heeft aangekondigd een onderzoek te starten naar het datalek. De hotelketen zou hebben verzuimd de New Yorkse autoriteiten in te lichten over het datalek, hetgeen strafbaar is. Ook justitie in de staat Illinois verricht nader onderzoek naar het datalek.