Hakeri ukrali poverljive informacije o 500 miliona gostiju Marriott hotela
Jedan od najvećih incidenata sa curenjem podataka u istoriji!
Najveći svetski lanac hotela Marriott je objavio da su nepoznati hakeri kompromitovali bazu podataka sa rezervacijama gostiju. Curenje informacija se dogodilo u Starwood hotelima, koji su deo ovog lanca. U pitanju su informacije o čak 500 miliona gostiju!
Marriott je Starwood hotele kupio 2016. za 13 milijardi dolara. Pomenuti brend uključuje sledeće hotele i odmarališta: St. Regis, Sheraton Hotels & Resorts, W Hotels, Westin Hotels & Resorts, Aloft Hotels, Tribute Portfolio, Element Hotels, Le Méridien Hotels & Resorts, The Luxury Collection, Four Points by Sheraton i Design Hotels.
Ovo je bez sumnje jedan od najvećih incidenata curenja podataka, odmah posle čuvenog Yahoo curenja podataka u kome je kompromitovano 3 milijarde naloga.
Starwood incident je započeo još 2014. kada je “neautorizovana strana” dobila autorizovan pristup bazi podataka sa rezervacijama gostiju, a zatim te informacije kopirala i kriptovala. Marriott je napad otkrio 8. septembra ove godine kada im je stiglo obaveštenje od internih bezbednosnih mehanizama. Daljom istragom je utvrđeno da je neko imao pristup pomenutoj bazi 10. septembra ili ranije.
Ukradeni podaci sadrže lične informacije o 327 miliona gostiju (imena, email adrese, brojeve telefona, pasoša, datum rođenja, pol, datum dolaska i odlaska, datum rezervacije i izabrani način komunikacije). Da stvar bude gora, nekim gostima su ukradeni podaci sa brojevima platnih kartica i datumom važenja. Kompanija navodi da su podaci sa platnih kartica kriptovani sa AES-128 enkripcijom, ali ne isključuje mogućnost da su se napadači dokopali enkripcijskih ključeva.
Kompanija još nije završila sa pregledom kompromitovane baze, ali se veruje da sadrži informacije o 500 miliona gostiju koji su napravili rezervacije u nekom od Starwood objekata. Marriott navodi da se kompromitovanje desilo “samo” u Starwood sistemu, ne i u ostaloj mreži koja pripada lancu. Počeli su da šalju obaveštenja gostima koji su potencijalno pogođeni napadom. Obavešteni su i državni organi i regulatorna tela, tako da se istraga nastavlja.
Marriott se suočava i sa potencijalno visokim kaznama zbog kršenja EU GDPR regulative o zaštiti podataka ukoliko se dokaže da su prekršili neku od odredbi. Kazna je 17 miliona funti ili 4% prihoda na globalnom nivou (gleda se koja je cifra viša).
Izvor: The Hacker News