A Marriott félmilliárd vendégének adatait lopták el
A Yahoo-botrány után ez lehet minden idők második legnagyobb adatlopása, biztonsági szakértők kormányzati hátteret sejtenek az akció mögött.
Pusztító adatlopás áldozata lett a Marriott International hotellánc: a vállalat közleménye szerint hackerek egyik leányvállalata, a Starwood Hotels foglalási adatbázisához szereztek hozzáférést. A támadók több mint 500 millió ügyfél adataihoz jutottak hozzá, akik a Marriot-leány szállodáiban idén szeptember 10-én és azt megelőzően szálltak meg. Az ügy lehet a második legnagyobb adatlopási botrány a hárommilliárd károsultat szedő Yahoo-adatszivárgás óta, jócskán megelőzve az Equifax hitelbíráló tavalyi botrányát is, mikor 143 millió amerikai állampolgár adataihoz jutottak hozzá a támadók.
Az ügyről a globálisan mintegy 6700 egységgel rendelkező Marriott szeptember 8-án szerzett tudomást, majd miután felvette a kapcsolatot a hatóságokkal és biztonsági szakértőkkel kiderült, a Starwood hálózatához illetéktelenek már 2014 óta hozzáfértek. A Marriot a Starwood Hotelst 2016-ban vásárolta fel mintegy 13,6 milliárd dollárért, ami azt jelenti, hogy az óriás két évvel ezelőtt a hotellánccal a már aktívan kihasznált sebezhetőséget is megvette. Az eddigi információk alapján az érintett ügyfelek száma a félmilliárdot is meghaladja (igaz a cég még nem végzett a duplikátumok kiszűrésével), ebből 327 millió ügyfél esetében a kiszivárgott információk a név, posta- és email cím, útlevélszám, telefonszám, nem, születési dátum, a Starwood vendégfiók azonosító, illetve az utazásokra vonatkozó adatokat is tartalmazhatják különböző kombinációkban.
De vannak akik ennél is rosszabbul jártak, és bankkártyaadataik is a támadók kezébe kerültek - bár azok száma csak AES-128 titkosítással szivárgott ki, a Marriot egyelőre "nem tudta kizárni a lehetőséget" hogy az elkövetők a titkosítási kulcsokat is megszerezték. Hogy a fizetési adatok kiszivárgása hány ügyfelet érinthet, a cég nem közölte, az említett 327 millió felhasználón kívül azonban "csak" nevek, emailcímek, postázási címek szivárogtak ki.
Platón ragadt informatikusok klubja Egyetlen más szakma sincs, ahol olyan gyorsan el lehet érni a karrier-platóra, mint az IT. A midlife, a mid-level mellett létezik mid-career krízis is.
A hotelóriás a hatóságokkal együttműködve igyekszik az ügy végére járni, közben pedig egy dedikált weboldalt és több nyelven telefonos ügyfélszolgálatot is létrehozott, ahol az érintettek kérdéseire válaszol. A kiszivárgott adatok birtokosait a Marriot több lépcsőben emailben értesíti, ezt a folyamatot a cég már megkezdte, továbbá egy év ingyenes WebWatcher előfizetést is biztosít számukra, utóbbi szolgáltatás azt figyeli, feltűnnek-e valamilyen online felületen az eltulajdonított ügyféladatok - igaz ahogy a vállalat is kitér rá, a WebWatcher nem minden országban elérhető. A Marriott egyébként korábban sem volt teljesen mentes a biztonsági fiaskóktól, 2016-ban saját, illetve a Starwood hoteljei is áldozatul estek egy malware-nek, amely több tízezer bankkártyaszámot szerzett meg a szállodák adatbázisaiból - de 2015-ben a Starwood pénztárgép-rendszerét is érte már támadás.
A The New York Times által idézett biztonsági cégek szerint egyelőre nincs arra utaló jel, hogy a Starwoodtól megszerzett adatokat bárhol felhasználták volna, ami arra utalhat, hogy a támadók nem eladási céllal szerezték meg az ügyféladatokat, így nincs kizárva az sem, hogy valamilyen kormányzati hátterű támadásról van szó. A Marriott ellen az ügyben már több per is indult.