Atak z nieznanego źródła pozostał niewykryty do września 2018 roku, kiedy to firma została przejęta przez Marriott. Dane osobowe różniły się między poszczególnymi osobami, ale mogły obejmować m.in. imiona i nazwiska, adresy e-mail, numery telefonów, niezaszyfrowane numery paszportów, informacje dotyczące przyjazdu / wyjazdu. Dokładna liczba osób, których to dotyczy nie jest jasna, ponieważ dla jednego gościa mogło istnieć wiele zapisów.

Dochodzenie ICO wykazało, że firma Marriott nie wdrożyła odpowiednich środków technicznych lub organizacyjnych w celu ochrony danych osobowych przetwarzanych w jej systemach, zgodnie z wymogami ogólnego rozporządzenia o ochronie danych (RODO).

Komentując decyzję ICO, Marriott powiedział, że nie zamierza się odwoływać, ale nie przyznaje się do odpowiedzialności w związku z decyzją. Na początku tego roku Marriott doznał kolejnego ogromnego wycieku danych, w wyniku którego ujawniono około 5,2 miliona zapisanych danych.