Marriott databrudd: Pass ikke kryptert

Januar 4, 2019
by Linda Hohnholz
6 min lese
pass
pass
Written by Linda Hohnholz

Marriott sa for første gang at 5.25 millioner passnummer ble oppbevart i Starwood-systemet i vanlige, ukrypterte datafiler

Marriott sa i dag at team av rettsmedisinske og dataanalytikere hadde identifisert «omtrent 383 millioner poster som den øvre grensen» for det totale antallet gjestereservasjoner som er tapt. Selskapet sier fortsatt at det ikke har noen anelse om hvem som utførte angrepet, og det antydet at tallet ville synke over tid ettersom flere dupliserte poster blir identifisert.

Det som gjorde Starwood-angrepet annerledes, var tilstedeværelsen av passnumre, som kunne gjøre det langt enklere for en etterretningstjeneste å spore folk som krysser grenser. Det er spesielt viktig i dette tilfellet: I desember rapporterte The New York Times at angrepet var en del av en kinesisk etterretningsinnhenting som, helt tilbake til 2014, også hacket amerikanske helseforsikringsselskaper og Office of Personnel Management, som holder sikkerheten klareringsfiler på millioner av amerikanere.

Foreløpig er det ingen kjente tilfeller der stjålet pass eller kredittkortinformasjon ble funnet i uredelige transaksjoner. Men for etterforskere av nettangrep er det bare et annet tegn på at hackingen ble utført av etterretningsbyråer, ikke kriminelle. Byråene ønsker å bruke dataene til sine egne formål – bygge databaser og spore statlige eller industrielle overvåkingsmål – i stedet for å utnytte dataene for økonomisk profitt.

Til sammen så angrepet ut til å være en del av en bredere innsats fra Kinas departement for statssikkerhet for å kompilere en enorm database over amerikanere og andre med sensitive regjerings- eller industristillinger – inkludert hvor de jobbet, navnene på kollegene deres, utenlandske kontakter og venner , og hvor de reiser.

"Big data er den nye bølgen for kontraintelligens," sa James A. Lewis, en cybersikkerhetsekspert som driver teknologipolitikkprogrammet ved Center for Strategic and International Studies i Washington, forrige måned.

Marriott International sa at færre kundeposter ble stjålet enn først fryktet, men la til at mer enn 25 millioner passnummer ble stjålet i forrige måneds cyberangrep. Selskapet sa i dag at den største hackingen av personlig informasjon i historien ikke var fullt så stor som først fryktet, men innrømmet for første gang at Starwood-hotellenheten ikke krypterte passnumrene for omtrent 5 millioner gjester. Disse passnumrene gikk tapt i et angrep som mange eksterne eksperter mener ble utført av kinesiske etterretningsbyråer.

Da angrepet først ble avslørt av Marriott i slutten av november, sa det at informasjon om over 500 millioner gjester kan ha blitt stjålet, alt fra reservasjonsdatabasen til Starwood, en stor hotellkjede som Marriot hadde skaffet seg. Men på den tiden sa selskapet at tallet var et verste tilfelle fordi det inkluderte millioner av dupliserte poster.

Det reviderte tallet er fortsatt det største tapet i historien, større enn angrepet på Equifax, forbrukerkredittrapporteringsbyrået, som mistet førerkortet og personnummeret til omtrent 145.5 millioner amerikanere i 2017, noe som førte til at konsernsjefen ble kastet ut. og et stort tap av tillit til firmaet.

En topptjenestemann i det kinesiske departementet for statssikkerhet ble arrestert i Belgia sent i fjor og utlevert til USA på siktelse for å ha spilt en sentral rolle i hackingen av amerikanske forsvarsrelaterte firmaer, og andre ble identifisert i en tiltale for justisdepartementet i Desember. Men disse sakene var ikke relatert til Marriott-angrepet, som FBI fortsatt etterforsker.

Kina har benektet all kjennskap til Marriott-angrepet. I desember sa Geng Shuang, en talsmann for dets utenriksdepartement, "Kina motsetter seg sterkt alle former for nettangrep og slår ned på det i samsvar med loven."

"Hvis det tilbys bevis, vil de relevante kinesiske avdelingene utføre undersøkelser i henhold til loven," la talsmannen til.

Marriott-undersøkelsen har avdekket en ny sårbarhet i hotellsystemer: Hva skjer med passdata når en kunde reserverer eller sjekker inn på et hotell, vanligvis i utlandet, og overleverer et pass til kontorist. Marriott sa for første gang at 5.25 millioner passnummer ble oppbevart i Starwood-systemet i vanlige, ukrypterte datafiler - noe som betyr at de lett ble lest av alle i reservasjonssystemet. Ytterligere 20.3 millioner passnumre ble oppbevart i krypterte filer, som ville kreve en hovedkrypteringsnøkkel for å lese. Det er uklart hvor mange av de involverte amerikanske pass og hvor mange som kommer fra andre land.

"Det er ingen bevis for at den uautoriserte tredjeparten fikk tilgang til hovedkrypteringsnøkkelen som trengs for å dekryptere de krypterte passnumrene," sa Marriott i en uttalelse.

Det var ikke umiddelbart klart hvorfor noen numre ble kryptert og andre ikke - annet enn at hoteller i hvert land, og noen ganger hver eiendom, hadde forskjellige protokoller for å håndtere passinformasjonen. Etterretningseksperter bemerker at amerikanske etterretningsbyråer ofte søker etter passnummeret til utlendinger de sporer utenfor USA – noe som kan forklare hvorfor den amerikanske regjeringen ikke har insistert på sterkere kryptering av passdata over hele verden.

På spørsmål om hvordan Marriott håndterte informasjonen nå som de har slått sammen Starwoods data til Marriotts reservasjonssystem - en fusjon som nettopp ble fullført på slutten av 2018 - sa Connie Kim, en talskvinne for selskapet: "Vi ser på vår evne til å flytte til universell kryptering av passnumre og vil samarbeide med systemleverandørene våre for å bedre forstå deres evner, samt gjennomgå gjeldende nasjonale og lokale forskrifter.»

Utenriksdepartementet ga i forrige måned en uttalelse der de fortalte passinnehavere om ikke å få panikk fordi nummeret alene ikke ville gjøre det mulig for noen å lage et falskt pass. Marriott har sagt at det ville betale for et nytt pass for alle hvis passinformasjon, hacket fra systemene deres, ble funnet å være involvert i en svindel. Men det var noe av en bedrifts lureri, siden det ikke ga noen dekning for gjester som ønsket et nytt pass bare fordi dataene deres var tatt av utenlandske spioner.

Så langt har selskapet unnlatt å ta opp dette problemet ved å si at det ikke har bevis for hvem angriperne var, og USA har ikke formelt anklaget Kina i saken. Men private cyberetterretningsgrupper som har sett på bruddet har sett sterke paralleller med de andre, kinesisk-relaterte angrepene som pågikk på den tiden. Selskapets president og administrerende direktør, Arne Sørenson, har ikke svart på spørsmål om hackingen offentlig, og Marriott sa at han var på reise og avslo en forespørsel fra The Times om å snakke om hacking.

Selskapet sa også at rundt 8.6 millioner kreditt- og debetkort var "involvert" i hendelsen, men de er alle kryptert - og alle bortsett fra 354,000 2018 kort hadde utløpt innen september XNUMX, da hackingen, som pågikk i årevis, ble oppdaget.

Skrive utLinkedinTelegramWhatsAppVKMessengerSMSRedditFlipboardPinteresttumblrXingBufferHacker NyheterlinjeBlandeLommeYummlyKopier

<

Kan hende du også liker

Om forfatteren

Linda Hohnholz

Ansvarlig redaktør for eTurboNews basert i eTN HQ.

Vis alle innlegg
Del til...
BufferKopierFlipboardHacker NyheterlinjeLinkedinMessengerBlandePinterestLommeSkrive utRedditSMSTelegramtumblrVKWhatsAppXing