메리어트는 스타우드 고객 예약 데이터베이스와 관련된 정보보안 사고를 조사하고 해결하기 위한 조치를 취했다. 조사 결과 2018년 9월 10일 또는 그 이전에 스타우드 호텔의 예약 관련 고객 정보가 포함된 데이터베이스에 무단 접근이 발생한 정황이 확인되었다. 

2018년 9월 8일, 메리어트는 미국 내 스타우드 고객 예약 데이터베이스에 접근하려는 시도와 관련하여 내부 보안 시스템으로부터 경보를 받았다. 메리어트는 신속히 주요 보안전문가들에게 의뢰하여 발생한 문제를 파악했다. 메리어트는 조사를 통해 2014년 이후 스타우드 네트워크에 무단 접근이 있었음을 발견했고, 무단으로 정보를 복사, 암호화하고 이를 제거하려는 조치를 취했다는 사실을 최근에 발견했다. 2018년 11월 19일, 메리어트는 정보를 해독하여 그 내용이 스타우드 고객 예약 데이터베이스로부터 나온 것이라는 사실을 확인했다.  

메리어트는 데이터베이스에서 중복된 정보에 대한 확인을 끝내지 못했지만 스타우드 호텔에 예약한 약 5억명의 고객에 대한 정보가 포함되어 있다고 추측하고 있다. 이 중 약 3억 2천 7백만명의 고객 정보는 이름, 주소, 전화번호, 이메일 주소, 여권번호, 스타우드 프리퍼드 게스트(“SPG”) 계정 정보, 생년월일, 성별, 도착 및 출발 정보, 예약 날짜 및 선호하는 커뮤니케이션 채널의 조합을 포함한다. 일부 정보에는 신용카드 번호 및 유효기간도 포함되어 있지만 신용카드 번호는 AES-128(고급 암호 표준, Advanced Encryption Standard)을 사용해 암호화 되어있다. 신용카드 번호를 해독하려면 두 가지 요소가 필요하며, 이 시점에서 메리어트는 두 가지 모두가 쓰여진 가능성을 배제할 수 없다. 나머지 고객들의 정보의 경우, 이름과 주소, 이메일 주소 또는 기타 정보와 같은 기타 데이터로 제한된다.  

메리어트는 이 사고를 법 집행기관에 보고하였고 계속해서 조사를 지원하고 있으며, 이미 규제 당국에 통보하기 시작했다. 

메리어트의 사장 겸 CEO인 안 소렌슨 (Arne Sorenson)은 “저희는 이번 사고에 대해 진심으로 유감스럽게 생각합니다.”라고 말하며, “저희는 고객들이 마땅히 누려야 할 것은 물론 우리 스스로에 대한 기대에도 미치지 못했습니다. 저희는 고객을 지원할 수 있는 모든 수단을 동원하고 있으며, 이번 일을 더 나은 발전을 위한 교훈으로 삼고 있습니다.”라고 덧붙였다.

안 소렌슨 사장은 이어 “오늘 메리어트는 전 세계 고객들에 대한 우리의 약속을 재확인하고 있습니다. 저희는 전용 웹사이트와 콜센터 운영을 통해 고객의 개인 정보에 관한 질문에 답변할 수 있도록 최선을 다하고 있습니다. 또한 계속해서 법 집행기관의 노력을 지원하고, 개선을 위해 주요 보안전문가들과 협력할 것입니다. 마지막으로 저희는 스타우드 시스템을 단계적으로 제거하고 네트워크의 지속적인 보안 강화를 가속화하기 위해 모든 역량을 집중하고 있습니다.”라고 설명했다.