Marriott avait annoncé fin novembre avoir découvert qu'une de ses bases de données pouvant contenir les informations d'environ 500 millions de clients avait fait l'objet d'intrusions illégales, certaines depuis 2014. Le chef de la diplomatie américaine Mike Pompeo avait quelques jours plus tard imputé à la Chine ce piratage, le plus important piratage connu de données privées depuis celui de Yahoo ! en 2013. Marriott a précisé vendredi qu'au maximum, 383 millions de dossiers avaient été concernés, certains clients pouvant avoir plusieurs dossiers. Le groupe estime par ailleurs que les numéros d'environ 5,25 millions de passeports non protégés par du cryptage faisaient partie des informations auxquelles ont pu accéder les pirates.

Les numéros d'environ 20,3 millions d'autres passeports étaient aussi inclus dans la base de données, mais ces derniers étaient protégés par un code ou une clé les rendant illisibles pour une personne ne connaissant pas la clé, et les pirates informatiques n'ont, semble-t-il, pas pu y avoir accès, selon Marriott. Selon son enquête interne, le groupe hôtelier estime aussi que les informations d'environ 8,6 millions de cartes de paiements, dont 354 000 étaient encore actives en septembre, étaient dans la base de données, mais que ces dernières étaient cryptées. Il est toutefois possible qu'un « petit nombre » de numéros de cartes de crédit, moins de 2000 selon Marriott, puissent avoir été entrés dans des cases où ils n'étaient pas protégés par du cryptage.