Marriottin nykyisin omistaman Starwoodin tietojärjestelmistä on tapahtunut yksi kaikkien aikojen suurimpia ja vakavimpia tietovuotoja. Alustavien tietojen mukaan hyökkääjille on voinut vuotaa Starwoodin koko varaustietokanta, joka sisältää tiedot 500 miljoonasta asiakkaasta.
Starwood toimii brändeillä W Hotels, St. Regis, Sheraton Hotels & Resorts, Westin Hotels & Resorts, Element Hotels, Aloft Hotels, The Luxury Collection, Tribute Portfolio, Le Méridien Hotels & Resorts, Four Points by Sheraton ja Design Hotels, jotka ovat mukana Starwood Preferred Guest -kanta-asiakasohjelmassa. Lisäksi mukana ovat myös Starwood-brändiä kantavat lomaosakkeet.
Edellä mainituissa hotelliketjuissa varauksen ennen 10. syyskuuta 2018 tehneiden asiakkaiden tiedot ovat voineet paljastua.
Marriott itse käyttää eri tietokantaa kuin Starwood eikä Marriottin tietoja ole tässä yhteydessä paljastunut.
Marriottin mukaan se havaitsi 8. syyskuuta hälytyksen valvontajärjestelmästä yrityksestä päästä käsiksi tietokantaan. Tätä seuranneessa tutkinnassa kävi ilmi, että tietokantaa oli tarkasteltu luvattomasti jo vuodesta 2014 asti. Marriott sai haltuunsa hyökkääjän kopioimia ja salaamia tietoja, jotka se sai avattua 19. marraskuuta. Tällöin selvisi, että kyse oli Starwoodin hotellivarausten tietokannasta.
Tietokannasta hyökkääjille on paljastunut asiakkaista vaihtelevia tietoja, mutta niitä voivat olla nimi, sähköpostiosoite, puhelinnumero, sähköpostiosoite, passin numero, Starwood Preferred Guest -ohjelman tilitiedot, syntymäaika, sukupuoli, saapumis- ja lähtötiedot, varauspäivämäärät sekä yhteydenottovalinnat. Lisäksi joidenkin käyttäjien osalta mukana on ollut myös luottokorttien numero- ja vanhentumispäivätiedot salatussa muodossa. Marriott ei kuitenkaan ole sulkenut pois mahdollisuutta, että hyökkääjillä voisi olla tarvittavat tiedot luottokorttitietojen salauksen purkuun.
Marriott on kertonut tekevänsä asiassa yhteistyötä viranomaisten kanssa ympäri maailman.
Asiakkaita, joiden tietoja on voinut paljastua, kehotetaan valppauteen mitä tulee vuotaneita tietoja hyödyntäviin tietojen kalasteluyrityksiin sähköpostilla tai muilla tavoilla, identiteettivarkauksiin tai tietojen muuhun hyväksikäyttöön. Koska vuotaneiden tietojen joukossa voi olla myös korttitietoja, tulee myös korttitapahtumia seurata.