Læsetid: 5 minutter
Databrud forekommer med stigende hyppighed hos navnemærkevirksomheder, og det er bestemt grund til bekymring. Millioner af kunder verden over bliver typisk skadet af disse hændelser, og oftere end ikke lækker følsom identifikation og økonomiske data.
Nu handler den seneste store databrudshistorie om Marriott, en meget stor international hotelkæde. De krænkede data vedrører personer, der har boet på Starwood Hotels and Resorts-ejendomme mindst én gang mellem 2014 (der er ikke angivet nogen omtrentlig dato) og den 10. september 2018. Hvis du ikke boede på et Marriott-hotel i denne periode, er der stadig grund til at du er bekymret. Starwood Hotels and Resorts-kæden omfatter W Hotels, St. Regis, Sheraton Hotels & Resorts, Westin Hotels & Resorts, Element Hotels, Aloft Hotels, The Luxury Collection-ejendomme, Tribute Portfolio-ejendomme, Le Méridien Hotels & Resorts, Four Points by Sheraton og designhoteller. Interessant nok, selvom pressemeddelelsen, der rapporterer bruddet, er under Marriott International-navnet, var Marriott-specifikke data ikke involveret i dette brud, fordi reservationsdatabaserne Starwood og Marriott stadig er adskilte.
Det store antal internationale ejendomme og brands er resultatet af igangværende virksomhedsfusioner gennem de seneste årtier. Senest blev fusionen af Marriott International og Starwood godkendt den 23. september 2016. Jeg ved, at flere af disse hoteller ligger i min hjemby Toronto, og de er også i byer og større byer over hele Amerika, Europa, Asien , Afrika, Oceanien og Mellemøsten. Der er tilsammen tusindvis af ejendomme i 130 lande. Hvis du har boet på et dejligt hotel i de sidste par år, er der en chance for, at dette brud har påvirket dig.
Marriott International rapporterede bruddet i en pressemeddelelse den 30. november. Det forklarer:
"Marriott værdsætter vores gæster og forstår vigtigheden af at beskytte personlige oplysninger. Vi har truffet foranstaltninger til at undersøge og behandle en datasikkerhedshændelse, der involverer Starwood-gæstereservationsdatabasen. Undersøgelsen har fastslået, at der var uautoriseret adgang til databasen, som indeholdt gæsteoplysninger vedrørende reservationer på Starwood-ejendomme på eller før den 10. september 2018. Denne meddelelse forklarer, hvad der skete, foranstaltninger, vi har truffet, og nogle trin, du kan tage som reaktion .
Den 8. september 2018 modtog Marriott en advarsel fra et internt sikkerhedsværktøj vedrørende et forsøg på at få adgang til Starwood-gæstereservationsdatabasen. Marriott engagerede hurtigt førende sikkerhedseksperter til at hjælpe med at fastslå, hvad der skete. Marriott erfarede under undersøgelsen, at der havde været uautoriseret adgang til Starwood-netværket siden 2014. Marriott opdagede for nylig, at en uautoriseret part havde kopieret og krypteret information, og tog skridt til at fjerne den. Den 19. november 2018 var Marriott i stand til at dekryptere oplysningerne og konstaterede, at indholdet var fra Starwood-gæstereservationsdatabasen."
Så hvor mange kunder er berørt af bruddet?
"Marriott er ikke færdig med at identificere duplikerede oplysninger i databasen, men mener, at den indeholder oplysninger om op til cirka 500 millioner gæster, der har foretaget en reservation på en Starwood-ejendom. For cirka 327 millioner af disse gæster omfatter oplysningerne en kombination af navn, postadresse, telefonnummer, e-mailadresse, pasnummer, Starwood Preferred Guest ('SPG') kontooplysninger, fødselsdato, køn, ankomst- og afrejseoplysninger, reservationsdato og kommunikationspræferencer. For nogle omfatter oplysningerne også betalingskortnumre og betalingskortudløbsdatoer, men betalingskortnumrene blev krypteret med Advanced Encryption Standard-kryptering (AES-128). Der er to komponenter, der skal til for at dekryptere betalingskortnumrene, og på nuværende tidspunkt har Marriott ikke kunnet udelukke muligheden for, at begge blev taget. For de resterende gæster var oplysningerne begrænset til navn og nogle gange andre data såsom postadresse, e-mailadresse eller andre begrænsede oplysninger."
Wow. Så mindst et par hundrede millioner mennesker blev ramt. Jeg håber, at der kommer mere specifikke tal, efterhånden som der gøres fremskridt i efterforskningen efter hændelsen.
Jeg er glad for, at Marriott International rapporterede bruddet mindre end et par måneder efter, at de opdagede det, det er bedre end hvad mange store virksomheder har gjort som svar på deres overtrædelse af data. Jeg er også glad for, at de ser ud til at give så meget information, som de er i stand til. Og det er omtrent lige så mange pæne ting, som jeg har at sige om denne sag.
Her er min kritik. De opdagede bruddet i begyndelsen af september. Uundgåeligt er mange af de berørte kunder borgere og indbyggere i EU-lande. EU's generelle databeskyttelsesforordning trådte i kraft i maj sidste år, og loven gælder for disse kunders data, selvom de boede på et hotel uden for Europa. Ifølge GDPR skal brud rapporteres inden for 72 timer efter opdagelsen. Den tid, Marriott International brugte på at rapportere dette brud, overtrådte sandsynligvis GDPR. Tiden vil vise, om selskabet får en bøde eller ej.
Databeskyttelseslovene andre steder i verden er typisk ikke så strenge som GDPR. Jeg ved, at Canadas PIPEDA-regulering ikke kræver en specifik tidsramme for rapportering af brud! Men nogle gange hjælper GDPR ofre for databrud, som ikke er fra EU. Hvis et brud påvirker mennesker over hele verden, som dette Starwood-brud gør, betyder det faktum, at nogle af kunderne er fra EU, at ofre for brud på verdensplan nyder godt af presset til at rapportere inden for 72 timer.
Alligevel tog Marriott International næsten tre måneder efter opdagelsen at rapportere dette brud.
Det ser ud til, at Marriott International fiksede årsagen til bruddet den 10. september, et par dage efter opdagelsen. Men dette brud går helt tilbage til 2014. Marriott siger, at et sikkerhedsværktøj af en slags hjalp dem med at opdage bruddet. Blev det værktøj for ganske nylig implementeret? Manglede Starwoods netværk ordentlige indtrængningsdetektionsenheder, logning og SIEM indtil for ganske nylig? Den mulighed generer mig.
Dette brud påvirker ikke kun kunder, der er Starwood Preferred Guest (SPG)-programmedlemmer, men også kunder, der ikke er SPG-medlemmer. Hvis du tror, du kan være et offer for dette brud, er her, hvad du kan gøre.
Hvis du har en SPG-konto, skal du ændre adgangskoden så hurtigt som muligt. Se derefter din SPG-konto for mistænkelig aktivitet. Uanset om du er SPG-kunde eller ej, så se på dine kreditkortudtog, hvis du brugte et kort på nogen af disse Starwood-ejendomme. Hvis noget ser galt ud, skal du ringe til din bank eller kreditkortudstederen så hurtigt som muligt. Se om du har krænket data via Er jeg blevet pwned. Bare husk på, at du stadig kan blive berørt af Marriott-bruddet, selvom dine konti ikke er nævnt i webstedets database, og webstedet kan nævne dine brudte data fra urelaterede databrudshændelser. Når du er i tvivl, skader det ikke at ændre alle dine adgangskoder til alt! Sørg måske for at bruge en velrenommeret adgangskodeadministrator, så du kan bruge masser af komplekse adgangskoder uden at skrive nogen af dem ned på papir.
Relaterede ressourcer
Malware-scanner på webstedet
Stillingen Marriott databrud – du tjekker ind, og dine personlige oplysninger tjekker ud dukkede først på Comodo News og internetsikkerhedsoplysninger.
- &
- 10
- 2016
- a
- Om
- adgang
- Ifølge
- Konto
- aktivitet
- adresse
- fremskreden
- afrika
- Alle
- Skønt
- Amerika
- dukkede
- cirka
- omkring
- asia
- Bank
- fordi
- før
- mener
- gavner det dig
- Bedre
- mellem
- Big data
- Bloker
- mærkevarer
- brands
- brud
- brud
- ringe
- Årsag
- kæde
- lave om
- Kontrol
- byer
- samling
- kombination
- Kom
- Kommunikation
- Virksomheder
- komplekse
- komponenter
- pågældende
- indeholder
- indhold
- Corporate
- VIRKSOMHED
- Selskaber
- lande
- Par
- kredit
- kreditkort
- kunde
- Kunder
- data
- bruddet
- databeskyttelse
- databeskyttelse
- datasikkerhed
- Database
- databaser
- Datoer
- Dage
- Design
- Detektion
- Bestem
- Enheder
- DID
- opdage
- opdaget
- opdagelse
- Skærm
- Er ikke
- ned
- i løbet af
- Tidligt
- effekt
- kryptering
- EU
- Europa
- europæisk
- europæiske Union
- eksperter
- finansielle
- finansielle data
- Fornavn
- fast
- FRAME
- fra
- GDPR
- Køn
- Generelt
- Generel databeskyttelsesforordning
- Gæst
- skete
- hjælpe
- hjulpet
- hjælper
- håber
- Hotel
- Hvordan
- HTTPS
- Identifikation
- identificere
- implementeret
- betydning
- omfatter
- stigende
- info
- oplysninger
- internationalt
- Internet
- Internet Security
- undersøge
- undersøgelse
- involverede
- IT
- Holde
- Kend
- stor
- større
- seneste
- Lov
- Love
- førende
- lærte
- Limited
- Se
- lavet
- lave
- malware
- leder
- Matter
- midler
- foranstaltninger
- Medlemmer
- nævnte
- Middle East
- million
- millioner
- tankerne
- måned
- mere
- mest
- netværk
- nyheder
- nummer
- numre
- igangværende
- Andet
- Papir
- part
- pas
- Adgangskode
- Nulstilling/ændring af adgangskoder
- betaling
- Betalingskort
- Mennesker
- måske
- periode
- personale
- Punkt
- punkter
- portefølje
- Muligheden
- mulig
- foretrækkes
- trykke
- Pressemeddelelse
- tryk
- Beskyttelse af personlige oplysninger
- Program
- egenskaber
- ejendom
- beskyttelse
- leverer
- hurtigt
- modtaget
- for nylig
- om
- Regulering
- frigive
- resterende
- fjernelse
- indberette
- Booking
- svar
- sikkerhed
- flere
- siden
- websted
- So
- nogle
- noget
- specifikke
- standard
- udsagn
- forblive
- opholdt sig
- Stadig
- Story
- loven
- verdenen
- ting
- tusinder
- tre
- tid
- værktøj
- toronto
- mod
- byer
- typisk
- under
- forstår
- union
- brug
- ofre
- W
- Ur
- Hvad
- hvorvidt
- WHO
- inden for
- uden
- world
- verdensplan
- skrivning
- år
- Din