NOTICE: This is an archived press release. Information contained on this page may be outdated. Please refer to our latest press releases for up-to-date information.


Post date: September 23 2016

Schneiderman Anuncia Acuerdo Con Trump Hotel Collection Tras Filtraciones De Datos Exponiendo Más De 70 Mil De Tarjetas De Crédito

Trump Hotel Collection debe pagar $50 mil en multas y reformar sus prácticas de seguridad de datos de tras dos infracciones separadas

Schneiderman: Vamos a seguir trabajando para proteger a los neoyorquinos de todas las formas de robo de identidad

NUEVA YORK - El Fiscal General Eric T. Schneiderman anunció hoy un acuerdo con Trump International Hotels Management LLC, d / b / a Trump Hotel Collection ("THC"), tras violaciones de datos resultantes en la exposición de más de 70.000 números de tarjetas de crédito y otros datos personales. THC ha acordado pagar $50,000 en multas y reformar sus prácticas de seguridad de datos.

“Es de vital importancia en esta era digital que las empresas tomen todas las precauciones para asegurar que la información del consumidor está protegida, y que si se produce una fuga de datos, se informe inmediatamente a nuestra oficina, de conformidad con la ley estatal”, dijo el Fiscal General Schneiderman. “Con demasiada frecuencia, información personal de los consumidores es expuesta a los malhechores con mala intención. Vamos a seguir trabajando para ayudar a proteger los trabajadores neoyorquinos de todas las formas de robo de identidad”.

A finales de mayo de 2015, varios bancos analizaron cientos de transacciones de tarjetas de crédito fraudulentas y determinaron que el THC fue el último comercio en el que se llevó a cabo una transacción legítima. Esto se conoce como un "punto de venta común" ("CPP") y sugiere que el THC es el blanco de un ataque cibernético que resultó en un riesgo para la información de tarjetas de crédito. Para el 10 de junio de 2015, una investigación forense preliminar confirmó la existencia problemas relacionados con el sistema de tarjeta de crédito que atacó en varias ubicaciones de THC, incluso en las redes de computadoras asociadas en hoteles de Nueva York, Chicago, y Las Vegas. Investigaciones posteriores revelaron que el 19 de mayo de 2014, un atacante se infiltró en el sistema de procesamiento de pagos de THC mediante el acceso a una cuenta administrativa en el controlador de dominio principal con credenciales de administrador de dominio legítimos. Mediante el uso de este acceso no autorizado, el atacante desplegó “malware” diseñado para robar información de tarjetas de crédito a través del entorno de procesamiento de la red informática y tarjeta de crédito de THC.

A pesar de su conocimiento en junio el año 2015 de que varias propiedades habían sido infiltradas con malware diseñado para robar números de tarjetas de crédito, y que los bancos habían analizado las diversas transacciones fraudulentas e identificado THC como CPP, el THC no avisó a sus clientes hasta cerca de las cuatro (4) meses más tarde, el 25 de septiembre de 2015, cuando se colocó un aviso en su sitio web acerca de la violación de la seguridad de datos. Este retraso violó Ley General de Negocios de Nueva York § 899-aa que requiere aviso a los consumidores "en el momento más conveniente posible y sin causar demoras innecesarias".

  1. Trump SoHo New York - 246 Spring Street, New York, NY 10013;
  2. Trump National Doral - 4400 N.W. 87th Avenue, Miami, FL 33178;
  3. Trump International New York - One Central Park West, New York, NY 10023;
  4. Trump International Chicago - 401 N. Wabash Avenue, Chicago, IL 60611;
  5. Trump International Waikiki - 223 Saratoga Road, Honolulu, HI 96815;
  6. Trump International Hotel & Tower Las Vegas - 2000 Fashion Show Drive, Las Vegas, NV 89109; and
  7. Trump International Toronto - 325 Bay Street, Toronto, Ontario, Canada M5H 4G3.

El 30 de marzo de 2016, el THC recibió reportes adicionales de CPP de sus procesadores de pagos sobre una segunda infracción. Otra investigación forense reveló que el THC experimentó un segundo incumplimiento, en caso en que un atacante tuvo acceso no autorizado el 10 de noviembre de 2015. El atacante instaló malware para lograr acceso a números de tarjeta de crédito en los 39 sistemas que afectan a cinco propiedades del hotel, como el Trump SoHo New York situado en 246 Spring Street, New York, NY 10013. La investigación forense también descubrió que el 21 de marzo el año 2016 el atacante también estuvo conectado a un sistema de pago tradicional en la red del Trump International hotel & Tower de Nueva York, que incluye la información personal de los propietarios de THC incluyendo los nombres y números de seguridad social de aproximadamente 302 personas, 44 de las cuales viven en Nueva York. THC proporcionó la notificación de los consumidores a estos individuos afectados el 10 de junio de 2016.

El informe de investigación forense final de la primera violación recomienda al THC adoptar precauciones de seguridad adicionales, tales como "la autenticación de dos factores" para el acceso remoto a la red de THC, que es una capa adicional de seguridad que requiere no sólo un nombre de usuario / contraseña, pero la información adicional que sólo el usuario sabrá, por ejemplo, un número aleatorio a partir de un testigo físico. Sin embargo, no fue hasta el 4 de abril de, 2016 que THC adoptó esta solución. Si el THC hubiese adoptado esta solución después de la primera infracción, de acuerdo con la recomendación de su investigador forense, pudo haber impedido la segunda infracción.

El acuerdo requiere al THC mantener políticas de seguridad razonables y procedimientos diseñados para proteger la información personal del consumidor, incluyendo:

  1. Designación de un empleado o empleados para coordinar y supervisar el programa de THC diseñado para proteger la privacidad y seguridad de la información personal;
  2. Formación anual de los empleados, como mínimo, informar a los empleados que se encargan de manejar la información personal acerca de la seguridad de datos, la importancia de la privacidad del consumidor y su deber para ayudar a mantener su integridad;
  3. Responder  a acontecimientos que implican la adquisición no autorizada, el acceso, uso o divulgación de información personal, incluyendo la formación de todo el personal que son responsables de la introducción de ingresar, mantener, almacenar o transferir información personal acorde con la ley de notificación de violación de datos;
  4. Identificacar los riesgos relevantes para la seguridad y confidencialidad de la información personal que presente una probabilidad razonable como resultado la divulgación no autorizada de dicha información, en particular mediante la revisión periódica de las fuentes de noticias de la industria de seguridad para las vulnerabilidades de seguridad recién identificadas;
  5. Diseño e implementación de medidas de protección razonables para controlar los riesgos identificados a través de la evaluación de riesgos, incluyendo el uso de la autenticación de dos factores para el acceso remoto a los sistemas informáticos;
  6. La comprobación periódica de la eficacia de las salvaguardias fundamentales, sistemas y procedimientos, a través de pruebas de software de seguridad razonable y apropiada; y
  7. Desarrollo y uso de las medidas razonables para seleccionar y retener a los proveedores de servicios capaces de mantener prácticas de seguridad de conformidad con el acuerdo y que requieren los proveedores de servicios por contrato implementar y mantener las garantías adecuadas.

Este caso fue manejado por el Jefe Adjunto del Buró de Internet y Tecnología Clark Russell y Tecnólogo Residente Marc Kowtko, bajo la supervisión del Jefe de la Oficina Kathleen McGee. La Oficina de Tecnología de Internet y es supervisada por la Fiscal General Ejecutiva Adjunta para la Justicia Económica Manisha Sheth.