A Marriott International anuncia um incidente de segurança envolvendo a base de reservas Starwood. A empresa informa que investiga acesso não autorizado desde 2014 e que identificou cópia e criptografia de informações de hóspedes. A divulgação estima impacto potencial em cerca de 500 milhões de registros.12

O caso ganha peso por envolver uma aquisição. A Marriott comprou a Starwood em 2016, mas o acesso não autorizado teria começado antes. Isso coloca o incidente no centro da discussão sobre due diligence de segurança, integração pós-fusão e herança de risco tecnológico.

Compra de empresa também compra superfície de ataque

Em M&A, avaliações costumam olhar receita, carteira de clientes, contratos, passivos jurídicos e sinergias. Segurança precisa entrar com a mesma seriedade. Sistemas antigos, bases de dados, fornecedores, identidades, logs e práticas de resposta a incidente podem carregar problemas que não aparecem no balanço.

Quando uma empresa adquire outra, ela não recebe apenas marca e operação. Recebe credenciais, integrações, dependências antigas, servidores esquecidos e decisões arquiteturais tomadas sob outro contexto. Se a integração tecnológica for lenta, duas realidades de risco passam a coexistir.

Dados de hospitalidade são mais sensíveis do que parecem

Reservas de hotel não são apenas nome e e-mail. Podem envolver passaporte, datas de viagem, preferências, programas de fidelidade, endereços e informações de pagamento. Mesmo quando dados financeiros completos não são expostos, a combinação de identidade e padrão de deslocamento tem valor para fraude, engenharia social e inteligência competitiva.

Isso amplia o dever de classificação de dados. Empresas precisam entender quais bases concentram atributos críticos, quem acessa, onde são replicadas e por quanto tempo permanecem úteis. Sem mapa de dados, resposta a incidente vira reconstrução forense em clima de crise.

Integração pós-aquisição precisa ter trilha de segurança

O caso Marriott-Starwood reforçou que integração tecnológica não pode ser tratada apenas como projeto de sistemas. Ela precisa incluir hunting, revisão de contas privilegiadas, rotação de segredos, segmentação, análise de logs históricos, validação de backups e revisão de fornecedores.

Também expõe a importância de preservar evidências. Se a organização não tem telemetria suficiente, ela pode saber que houve incidente sem conseguir responder rapidamente quem foi afetado, quais dados saíram e que ações mitigam o risco.

Em aquisições grandes, esse trabalho precisa começar antes da integração completa. A janela entre assinatura, fechamento e migração costuma ser longa, e é justamente nela que sistemas antigos continuam operando com controles desiguais.

Para conselhos e diretorias, o recado é claro: segurança em M&A não é checklist tardio. Ela influencia preço, prazo, retenções contratuais, plano de integração e comunicação pública. O incidente da Starwood expõe como risco digital pode permanecer oculto por anos e reaparecer depois da transação, quando a responsabilidade já mudou de mãos.

  1. Marriott International, "Marriott Announces Starwood Guest Reservation Database Security Incident", 30 nov. 2018.
  2. Marriott International, "Marriott Announces Starwood Guest Reservation Database Security Incident", comunicado em PDF, 30 nov. 2018.