Het ging onder meer om namen, geboortedata, telefoonnummers, e-mailadressen, paspoortnummers en creditcardinformatie. Zulke gegevens kunnen worden gebruikt om te frauderen. Het ging volgens een overzicht van persbureau Bloomberg om het op een na grootste lek van persoonsgegevens ooit, zo'n 500 miljoen klantbestanden. Later bleek dat minder gasten de dupe geworden waren van de roof van klantgegevens van hotelketen Starwood dan aanvankelijk gedacht. Volgens moederbedrijf Marriott gaat het om maximaal 383 miljoen klantbestanden.

Digitale roof Marriott

De digitale roof kwam eind vorig jaar aan het licht, maar waarschijnlijk drongen de daders al in 2014 binnen bij Starwood Hotels & Resorts. Die keten werd in 2016 gekocht door Marriott, dat de inbraak vorig jaar ontdekte. Marriott had meer onderzoek moeten doen toen het Starwood overnam, zegt de ICO.

Marriott Nederland

Marriott heeft meerdere hotels in Nederland, maar alleen de hotels die onder de paraplu Starwood vallen werden getroffen, waaronder Sheraton-hotel bij Schiphol en voor het W Hotel in Amsterdam. Uit een interne brief aan personeel van het W Hotel, die het ANP heeft ingezien, blijkt dat betrokken gasten per e-mail werden geïnformeerd over het lek.

Op 8 september 2018 kregen technici de eerste melding van de diefstal, op 19 november dat jaar ontdekte het Marriott de omvang van het lek: dat gegevens in de Amerikaanse Starwood-reserveringsdatabase al jaren toegankelijk waren. Een deel van de gegevens was door een externe partij versleuteld en gekopieerd, en stond op het punt te worden verwijderd. De keten heeft daarna maatregelen genomen.