Ksur tad-dejta Marriott: Passaporti mhux encrypted

Marriott illum qal li timijiet ta 'analisti forensiċi u tad-dejta identifikaw "madwar 383 miljun rekord bħala l-ogħla limitu" għan-numru totali ta' rekords ta 'riservazzjonijiet tal-klijenti mitlufa. Il-kumpanija għadha tgħid li m'għandha l-ebda idea min wettaq l-attakk, u ssuġġeriet li ċ-ċifra tonqos maż-żmien hekk kif jiġu identifikati aktar rekords duplikati.

Dak li għamel l-attakk ta 'Starwood differenti kien il-preżenza ta' numri tal-passaporti, li tista 'tagħmilha ferm aktar faċli għal servizz ta' intelliġenza li jsegwi nies li jaqsmu l-fruntieri. Dan huwa partikolarment importanti f'dan il-każ: F'Diċembru, The New York Times irrapporta li l-attakk kien parti minn sforz ta 'ġbir ta' intelliġenza Ċiniż li, li wasal lura għall-2014, hacked ukoll assiguraturi tas-saħħa tal-Istati Uniti u l-Uffiċċju għall-Ġestjoni tal-Persunal, li jżomm is-sigurtà. fajls ta ’approvazzjoni fuq miljuni ta’ Amerikani.

S’issa, m’hemm l-ebda każ magħruf li fih instabet informazzjoni dwar passaport jew karta ta ’kreditu misruqa fi tranżazzjonijiet frodulenti. Iżda għall-investigaturi tal-attakki ċibernetiċi, dan huwa biss sinjal ieħor li l-hacking sar minn aġenziji tal-intelligence, mhux kriminali. L-aġenziji jkunu jridu jużaw id-dejta għall-iskopijiet tagħhom stess - jibnu databases u jsegwu miri ta 'sorveljanza tal-gvern jew industrijali - aktar milli jisfruttaw id-dejta għal profitt ekonomiku.

Meħud flimkien, l-attakk deher li kien parti minn sforz usa 'mill-Ministeru tas-Sigurtà tal-Istat taċ-Ċina biex jiġbor database enormi ta' Amerikani u oħrajn b'pożizzjonijiet sensittivi tal-gvern jew tal-industrija - inkluż fejn ħadmu, l-ismijiet tal-kollegi tagħhom, kuntatti barranin u ħbieb , u fejn jivvjaġġaw.

"Id-dejta l-kbira hija l-mewġa l-ġdida għall-kontro-intelliġenza," qal James A. Lewis, espert taċ-ċibersigurtà li jmexxi l-programm tal-politika tat-teknoloġija fiċ-Ċentru għall-Istudji Strateġiċi u Internazzjonali f'Washington, ix-xahar li għadda.

Marriott International qalet li nsterqu inqas rekords tal-klijenti milli kien jibża ’inizjalment iżda żiedet li nsterqu aktar minn 25 miljun numru tal-passaport fl-attakk ċibernetiku tax-xahar li għadda. Il-kumpanija qalet illum li l-ikbar hacking ta ’informazzjoni personali fl-istorja ma kienx daqshekk kbir daqs l-ewwel beżgħet iżda għall-ewwel darba ammettiet li l-unità tal-lukanda Starwood tagħha ma kkriptatx in-numri tal-passaport għal madwar 5 miljun mistieden. Dawk in-numri tal-passaporti ntilfu f'attakk li ħafna esperti esterni jemmnu li sar minn aġenziji ta 'intelliġenza Ċiniżi.

Meta l-attakk ġie żvelat l-ewwel darba minn Marriott fl-aħħar ta 'Novembru, qal li informazzjoni dwar 500 miljun mistiedna' l fuq setgħu ġew misruqa, kollha mid-database tar-riservazzjonijiet ta 'Starwood, katina ta' lukanda ewlenija li kienet akkwistat Marriot. Iżda dak iż-żmien, il-kumpanija qalet li ċ-ċifra kienet l-agħar xenarju minħabba li kienet tinkludi miljuni ta 'rekords duplikati.

Iċ-ċifra riveduta għadha l-akbar telf fl-istorja, akbar mill-attakk fuq Equifax, l-aġenzija li tirrapporta l-kreditu tal-konsumatur, li tilfet il-liċenzja tas-sewwieq u n-numri tas-Sigurtà Soċjali ta ’madwar 145.5 miljun Amerikan fl-2017, li wassal għat-tneħħija tal-kap eżekuttiv tagħha. u telf kbir ta 'fiduċja fid-ditta.

Uffiċjal ewlieni wieħed tal-Ministeru Ċiniż tas-Sigurtà ta ’l-Istat ġie arrestat fil-Belġju tard is-sena li għaddiet u estradit lejn l-Istati Uniti fuq akkużi li kellu rwol ċentrali fil-hacking ta’ ditti relatati mad-difiża ta ’l-Istati Uniti, u oħrajn ġew identifikati f’akkuża tad-Dipartiment tal-Ġustizzja Diċembru. Iżda dawk il-każijiet ma kinux relatati mal-attakk Marriott, li l-FBI għadu qed jinvestiga.

Iċ-Ċina ċaħdet kwalunkwe għarfien dwar l-attakk Marriott. F'Diċembru, Geng Shuang, kelliem għall-Ministeru ta 'l-Affarijiet Barranin tagħha, qal, "Iċ-Ċina topponi bis-sħiħ kull forma ta' attakk ċibernetiku u taqbadha skond il-liġi."

"Jekk tiġi offruta evidenza, id-dipartimenti Ċiniżi rilevanti se jwettqu investigazzjonijiet skont il-liġi," żied il-kelliem.

L-investigazzjoni Marriott żvelat vulnerabbiltà ġdida fis-sistemi tal-lukandi: X'jiġri mid-dejta tal-passaport meta klijent jagħmel riservazzjoni jew jiċċekkja f'lukanda, ġeneralment barra l-pajjiż, u jagħti passaport lill-iskrivan. Marriott qal għall-ewwel darba li 5.25 miljun numru ta ’passaport inżammu fis-sistema Starwood f’fajls ta’ dejta sempliċi u mhux ikkriptati - li jfisser li kienu jinqraw faċilment minn kulħadd ġewwa s-sistema ta ’riservazzjoni. 20.3 miljun numru ta 'passaport addizzjonali nżammu f'fajls kriptati, li jkunu jeħtieġu ċavetta ewlenija ta' kriptaġġ biex tinqara. Mhuwiex ċar kemm minn dawk involuti passaporti Amerikani u kemm ġejjin minn pajjiżi oħra.

"M'hemm l-ebda evidenza li l-parti terza mhux awtorizzata aċċessat iċ-ċavetta ewlenija ta 'encryption meħtieġa biex tiddekripta n-numri tal-passaport encrypted," qal Marriott fi stqarrija.

Ma kienx ċar immedjatament għaliex xi numri kienu kriptati u oħrajn le - għajr li lukandi f'kull pajjiż, u xi kultant kull proprjetà, kellhom protokolli differenti biex jimmaniġġjaw l-informazzjoni tal-passaport. Esperti tal-intelliġenza jinnutaw li l-aġenziji tal-intelliġenza tal-Istati Uniti spiss ifittxu n-numri tal-passaporti tal-barranin li jkunu qed isegwu barra l-Istati Uniti - li jistgħu jispjegaw għaliex il-gvern tal-Istati Uniti ma insistax fuq kriptaġġ aktar qawwi tad-dejta tal-passaport mad-dinja kollha.

Mistoqsi kif Marriott kienet qed tieħu ħsieb l-informazzjoni issa li għaqqdet id-dejta ta ’Starwood fis-sistema ta’ riservazzjonijiet Marriott - għaqda li kienet għadha kemm tlestiet fi tmiem l-2018 - Connie Kim, kelliema tal-kumpanija, qalet: “Qed inħarsu lejn il-kapaċità tagħna li nimxu għall-kriptaġġ universali tan-numri tal-passaporti u se naħdmu mal-bejjiegħa tas-sistemi tagħna biex nifhmu aħjar il-kapaċitajiet tagħhom, kif ukoll nirrevedu r-regolamenti nazzjonali u lokali applikabbli. "

Id-Dipartiment tal-Istat ħareġ stqarrija x-xahar li għadda fejn qal lid-detenturi tal-passaporti biex ma jibżgħux għax in-numru waħdu ma jippermettix lil xi ħadd joħloq passaport falz. Marriott qalet li tħallas għal passaport ġdid għal kull min l-informazzjoni dwar il-passaport tiegħu, maqtugħa mis-sistemi tagħhom, instabet li kienet involuta fi frodi. Iżda dik kienet xi ħaġa ta 'korporattiva, peress li ma pprovdiet l-ebda kopertura għal mistednin li riedu passaport ġdid sempliċement minħabba li d-dejta tagħhom kienet ittieħdet minn spiji barranin.

S’issa, il-kumpanija baqgħet tindirizza dik il-kwistjoni billi qalet li m’għandha l-ebda evidenza dwar min kienu l-attakkanti, u l-Istati Uniti ma akkużawx formalment liċ-Ċina fil-każ. Iżda gruppi privati ​​taċ-ċiberinteliġenza li ħarsu lejn il-ksur raw paralleli qawwija mal-attakki l-oħra relatati maċ-Ċiniż li kienu għaddejjin dak iż-żmien. Il-president u l-kap eżekuttiv tal-kumpanija, Arne Sorenson, ma weġbitx mistoqsijiet dwar l-hacking fil-pubbliku, u Marriott qal li kien qed jivvjaġġa u rrifjuta talba minn The Times biex jitkellem dwar hacking.

Il-kumpanija qalet ukoll madwar 8.6 miljun karta ta 'kreditu u debitu kienu "involuti" fl-inċident, iżda dawk kollha huma kriptati - u l-karti kollha ħlief 354,000 kienu skadew sa Settembru 2018, meta ġie skopert il-hacking, li kompla għal snin.