Chińczycy odpowiedzialni za naruszenie ponad 500 milionów kont klientów Marriotu?

7 grudnia 2018, 15:47
Marriot1
Fot. Abasaa/Wikipedia Commons/Domena publiczna

Sieć hoteli Marriott padła ofiarą cyberataku. W wyniku incydentu baza danych dotycząca rezerwacji gości została zhakowana. Narażonych zostało ponad 500 milionów kont. Nieautoryzowany dostęp do bazy danych rozpoczął się już w 2014 roku.

Hakerzy odpowiedzialni za masowe naruszenie systemów hotelowej grupy Marriott International pozostawili ślady świadczące o tym, że współpracowali oni z chińskim wywiadem w ramach państwowej operacji.

Specjaliści badający incydent znaleźli narzędzia hakerskie oraz opisali techniki, które były już wcześniej używane w tego typu atakach przeprowadzonych przez chińskich cyberprzestępców. Taki stan rzeczy prowadzi do wniosku, że byli oni zaangażowani w kampanię Pekinu mającą na celu przede wszystkim zebranie informacji istotnych z punktu widzenia państwowego wywiadu.

Niemniej jednak identyfikacja konkretnego źródła cyberataku jest trudna ze względu na fakt wysokiej aktywności innych grup hakerskich, które mogły w tym samym czasie znajdować się w sieci oraz systemach komputerowych hoteli.

W specjalnym komunikacie prasowym przedstawiciele Marriott poinformowali, iż w dochodzeniu ustalono jedynie, że był to nieautoryzowany dostęp do bazy danych, która zawierała informacje o gościach i ich rezerwacjach w hotelach Starwood (przyp. red. Marriott International przejął Starwood Hotels & Resorts Worldwide w 2016 roku).

Na początku września specjaliści Marriott otrzymali ostrzeżenie z wewnętrznego systemu bezpieczeństwa, który poinformował o próbie dostępu do bazy danych rezerwacji gości Starwood w USA.  Prowadzone śledztwo wykazało, że od 2014 roku regularnie dochodziło do włamań sieci hotelów. Jak twierdzą władze Marriott: „Niedawno firma odkryła, że ​​nieautoryzowana strona skopiowała i zaszyfrowała informacje. Podjęliśmy kroki w celu jej usunięcia. Kluczowe jest, aby odszyfrować zawarte na niej informacje i ustalić, czy zawartość pochodzi z bazy danych rezerwacji gości Starwood”.

Firma podaje, iż nie zakończyła jeszcze identyfikacji duplikatów w bazie danych. Specjaliści podejrzewają, że zawierają się w nich informacje dotyczące około 500 milionów gości, którzy dokonali rezerwacji w hotelach Starwood.

Jeśli śledczy potwierdzą, że Chiny są odpowiedzialne za atak, może to znacznie skomplikować i tak już napięte stosunki pomiędzy Waszyngtonem a Pekinem. FBI odmówiło komentarza w sprawie źródła naruszenia. Równocześnie strona chińska stanowczo zaprzecza zarzutom związanym nie tylko z cyberatakiem na Marriott, ale także innymi incydentami, jakie miały miejsce w przeszłości.

Wyciek danych

Według informacji podanych przez Marriott International dane 327 milionów gości, które zostały naruszone w wyniku incydentu, obejmowały imiona i nazwiska, adresy do korespondencji, numery telefonów, adresy e-mail, numery paszportów, informacje o koncie Starwood Preferred Guest ("SPG"), daty urodzenia, płci, informacje o przylotach i odlotach,  terminach rezerwacji i preferencjach dotyczących komunikacji.

Co więcej, w niektórych przypadkach w bazach danych znajdowały się również informacje na temat numerów kont płatniczych oraz daty ich wygaśnięcia. W tym przypadku system bezpieczeństwa uprzednio zaszyfrował wszelkie tego typu informacje za pomocą Advanced Encryption Standard. Jednak słowa przedstawicieli firmy budzą wątpliwości w zakresie bezpieczeństwa danych – „Istnieją dwa elementy potrzebne do odszyfrowania numerów kart płatniczych, i w tym momencie Marriott nie jest w stanie wykluczyć, czy któryś z nich nie został wykorzystany”.  

W przypadku pozostałych gości ujawniona informacja była ograniczona do nazwy użytkownika oraz  innych danych, takich jak adres pocztowy czy e-mail. Prokurator generalny Nowego Jorku, Barbara Underwood, i prokurator generalny Maryland, Brian Frosh, powiedzieli w piątek, że ich biura rozpoczęły śledztwo w sprawie naruszenia.

Wpływ finansowy

Przedstawiciele Marriott podkreślają, że jest zbyt wcześnie, aby oszacować wielkość strat finansowych – „Firma prowadzi ubezpieczenia, w tym ubezpieczenie cybernetyczne, proporcjonalne do rozmiaru i charakteru swojej działalności oraz współpracuje z innymi podmiotami w celu oceny zasięgu incydentu”.

Złożenie przez firmę specjalnego oświadczenia oznacza, że osobno pojawi się wykaz kosztów związanych z tym incydentem, a także informacja dotycząca zwrotów z ubezpieczenia. Równocześnie Marriott uważa, że sytuacja związana z cyberatakiem nie wpłynie na długoterminową kondycję finansową firmy. „Jako wiodąca marka hotelarska, firma generuje znaczące przepływy pieniężne każdego roku, a jedynie niewielka inwestycja kapitałowa jest niezbędna do jej rozwoju” – podkreślają władze.

Dochodzenie

Przedstawiciele Marriott zgłosili incydent organom ścigania. Specjaliści firmy wspierają śledztwo, a władze spółki rozpoczęły już powiadamiać o sytuacji organy regulacyjne. W odniesieniu do całej sprawy Arne Sorenson, prezes i dyrektor generalny Marriott, powiedział: „Głęboko żałujemy, że ten incydent się wydarzył. Nie sprostaliśmy temu, na co zasłużyli nasi goście i czego oczekują od nas. Robimy wszystko, co w naszej mocy, aby wspierać naszych klientów i wykorzystujemy zdobyte doświadczenia, aby pewniej iść naprzód”.

W oświadczeniu zamieszczonym na swojej stronie internetowej Marriott oferuje osobom dotkniętym naruszeniem możliwość bezpłatnego zapisania się do WebWatchera na okres jednego roku. WebWatcher monitoruje strony internetowe, na których udostępniane są dane osobowe i generuje ostrzeżenia dla  użytkownika, jeśli znalezione zostały dowody na możliwość naruszenia wrażliwych danych. Jak zauważa firma: „Z powodu przepisów i innych przyczyn WebWatcher lub podobne produkty nie są dostępne we wszystkich krajach”.

Z kolei Arne Sorenson zapewniał, że Marriott dokłada wszelkich starań, aby klienci uzyskali odpowiedź na pytania związane z bezpieczeństwem ich danych osobowych. W tym celu powstała dedykowana strona internetowa oraz centrum telefoniczne. „Będziemy nadal wspierać wysiłki organów ścigania i współpracować z wiodącymi ekspertami ds. Bezpieczeństwa w celu poprawy naszych systemów” – zapewniał dyrektor generalny firmy.

Cyberatak

Hakerzy działali w sposób ostrożny. Ich nadrzędnym celem było zminimalizowanie możliwości wykrycia. To wszystko przyczyniło się do faktu wieloletniej działalności cyberprzestępczej, o której systemy Starwood nie informowały. „Celem  atakującego jest pozostawanie niewidzialnym w sieci tak długo, jak to możliwe” – zaznaczył Andre McGregor, były członek FBI.

Odnosząc się do specyfiki działania hakerów Andre McGregor tłumaczył: „Akwizycje powodują duże zamieszanie między organizacjami, szczególnie jeśli chodzi o infrastrukturę IT i bezpieczeństwo. Ponieważ większość naruszeń wynika z niewłaściwego zarządzania systemami lub kontami administracyjnymi, przestępca może nieuchronnie przejąć jedno lub oba, aby uzyskać dostęp do tego bardzo ważnego zestawu danych. Takie sytuacje podkreślają znaczenie priorytetyzacji cyberbezpieczeństwa”.

Naruszenie danych a RODO

Marriott International grożą również sankcje finansowe związane z RODO. Władze firmy starają się udowodnić, że incydent należy rozpatrywać w ramach historycznego incydentu, który wymknął się spod kontroli. Ian Birdsey z Pinsent Masons zauważył, że „obecnie istnieje paradoks, gdy w interesie przedsiębiorstwa jest podkreślenie historycznego charakteru incydentu związanego z bezpieczeństwem danych i określenie, jak długo trwało wydarzenie i jak długo systemy były narażone, aby w ten sposób pokazać, że ​​ RODO nie powinno mieć tutaj zastosowania”.

Obecnie unijne organy nie są w stanie określić czy RODO będzie miało zastosowanie wobec Marriott. Taki stan rzeczy wynika z faktu, że nadal prowadzone jest śledztwo oraz badanie całej sprawy przez specjalistów z zakresu cyberbezpieczeństwa.  Nawet jeśli okaże się, że naruszenie powinno podlegać przepisom prawa, to z pewnością przedstawiciele firmy stawią się w odpowiednich instytucjach, w tym w Parlamencie Europejskim, aby przedstawić swoje stanowisko i wyjaśnić szczegółowo cały problem.  

KomentarzeLiczba komentarzy: 0
No results found.
Reklama C24-A1
Reklama
Tweets CyberDefence24