Die App glich Daten ohne Authentifizierung mit dem Backbone ab. Diese konnten also ausgelesen und für das Löschen von Reservierungen im Web-Interface genutzt werden. Dort finden sich auch persönliche Daten wie die Postadresse. Positiv: Marriott stopfte die Lücke innerhalb von 24 Stunden.
