:

Szerző: Hlács Ferenc

2018. december 3. 08:00

A Marriott félmilliárd vendégének adatait lopták el

A Yahoo-botrány után ez lehet minden idők második legnagyobb adatlopása, biztonsági szakértők kormányzati hátteret sejtenek az akció mögött.

Pusztító adatlopás áldozata lett a Marriott International hotellánc: a vállalat közleménye szerint  hackerek egyik leányvállalata, a Starwood Hotels foglalási adatbázisához szereztek hozzáférést. A támadók több mint 500 millió ügyfél adataihoz jutottak hozzá, akik a Marriot-leány szállodáiban idén szeptember 10-én és azt megelőzően szálltak meg. Az ügy lehet a második legnagyobb adatlopási botrány a hárommilliárd károsultat szedő Yahoo-adatszivárgás óta, jócskán megelőzve az Equifax hitelbíráló tavalyi botrányát is, mikor 143 millió amerikai állampolgár adataihoz jutottak hozzá a támadók.

Az ügyről a globálisan mintegy 6700 egységgel rendelkező Marriott szeptember 8-án szerzett tudomást, majd miután felvette a kapcsolatot a hatóságokkal és biztonsági szakértőkkel kiderült, a Starwood hálózatához illetéktelenek már 2014 óta hozzáfértek. A Marriot a Starwood Hotelst 2016-ban vásárolta fel mintegy 13,6 milliárd dollárért, ami azt jelenti, hogy az óriás két évvel ezelőtt a hotellánccal a már aktívan kihasznált sebezhetőséget is megvette. Az eddigi információk alapján az érintett ügyfelek száma a félmilliárdot is meghaladja (igaz a cég még nem végzett a duplikátumok kiszűrésével), ebből 327 millió ügyfél esetében a kiszivárgott információk a név, posta- és email cím, útlevélszám, telefonszám, nem, születési dátum, a Starwood vendégfiók azonosító, illetve az utazásokra vonatkozó adatokat is tartalmazhatják különböző kombinációkban.

mrill

De vannak akik ennél is rosszabbul jártak, és bankkártyaadataik is a támadók kezébe kerültek - bár azok száma csak AES-128 titkosítással szivárgott ki, a Marriot egyelőre "nem tudta kizárni a lehetőséget" hogy az elkövetők a titkosítási kulcsokat is megszerezték. Hogy a fizetési adatok kiszivárgása hány ügyfelet érinthet, a cég nem közölte, az említett 327 millió felhasználón kívül azonban "csak" nevek, emailcímek, postázási címek szivárogtak ki.

Machine recruiting: nem biztos, hogy szeretni fogod

Az AI visszafordíthatatlanul beépült a toborzás folyamatába.

Machine recruiting: nem biztos, hogy szeretni fogod Az AI visszafordíthatatlanul beépült a toborzás folyamatába.

A hotelóriás a hatóságokkal együttműködve igyekszik az ügy végére járni, közben pedig egy dedikált weboldalt és több nyelven telefonos ügyfélszolgálatot is létrehozott, ahol az érintettek kérdéseire válaszol. A kiszivárgott adatok birtokosait a Marriot több lépcsőben emailben értesíti, ezt a folyamatot a cég már megkezdte, továbbá egy év ingyenes WebWatcher előfizetést is biztosít számukra, utóbbi szolgáltatás azt figyeli, feltűnnek-e valamilyen online felületen az eltulajdonított ügyféladatok - igaz ahogy a vállalat is kitér rá, a WebWatcher nem minden országban elérhető. A Marriott egyébként korábban sem volt teljesen mentes a biztonsági fiaskóktól, 2016-ban saját, illetve a Starwood hoteljei is áldozatul estek egy malware-nek, amely több tízezer bankkártyaszámot szerzett meg a szállodák adatbázisaiból - de 2015-ben a Starwood pénztárgép-rendszerét is érte már támadás.

A The New York Times által idézett biztonsági cégek szerint egyelőre nincs arra utaló jel, hogy a Starwoodtól megszerzett adatokat bárhol felhasználták volna, ami arra utalhat, hogy a támadók nem eladási céllal szerezték meg az ügyféladatokat, így nincs kizárva az sem, hogy valamilyen kormányzati hátterű támadásról van szó. A Marriott ellen az ügyben már több per is indult.

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek.

a címlapról