Lesezeit: 5 Minuten
Datenschutzverletzungen treten bei namhaften Unternehmen immer häufiger auf, und dies ist sicherlich Anlass zur Sorge. Millionen von Kunden weltweit werden in der Regel durch diese Vorfälle geschädigt, und meistens werden sensible Identifikations- und Finanzdaten durchsickern.
Nun handelt die neueste Big Data Breach Story von Marriott, einer sehr großen internationalen Hotelkette. Die verletzten Daten beziehen sich auf Personen, die zwischen 2014 (kein ungefähres Datum angegeben) und dem 10. September 2018 mindestens einmal in Hotels von Starwood Hotels and Resorts übernachtet haben trotzdem Grund zur Sorge. Die Starwood Hotels and Resorts-Kette umfasst die W Hotels, St. Regis, Sheraton Hotels & Resorts, Westin Hotels & Resorts, Element Hotels, Aloft Hotels, The Luxury Collection-Hotels, Tribute Portfolio-Hotels, Le Méridien Hotels & Resorts, Four Points by Sheraton , und Designhotels. Obwohl die Pressemitteilung, in der der Verstoß gemeldet wird, unter dem Namen Marriott International geführt wird, waren interessanterweise keine Marriott-spezifischen Daten in diesen Verstoß verwickelt, da die Reservierungsdatenbanken von Starwood und Marriott immer noch getrennt sind.
Die Vielzahl an internationalen Objekten und Marken ist das Ergebnis laufender Unternehmenszusammenschlüsse der letzten Jahrzehnte. Zuletzt wurde die Fusion von Marriott International und Starwood am 23. September 2016 genehmigt. Ich weiß, dass sich mehrere dieser Hotels in meiner Heimatstadt Toronto befinden, und sie befinden sich auch in Städten und größeren Städten in ganz Amerika, Europa und Asien , Afrika, Ozeanien und dem Nahen Osten. Es gibt insgesamt Tausende von Immobilien in 130 Ländern. Wenn Sie in den letzten Jahren in einem schönen Hotel übernachtet haben, besteht die Möglichkeit, dass Sie von dieser Verletzung betroffen sind.
Marriott International meldete den Verstoß in a Pressemitteilung am 30. Es erklärt:
„Marriott schätzt unsere Gäste und weiß, wie wichtig der Schutz personenbezogener Daten ist. Wir haben Maßnahmen ergriffen, um einen Datensicherheitsvorfall im Zusammenhang mit der Starwood-Datenbank für Gästereservierungen zu untersuchen und zu beheben. Die Untersuchung hat ergeben, dass unbefugter Zugriff auf die Datenbank bestand, die Gästeinformationen zu Reservierungen in Starwood-Häusern am oder vor dem 10. September 2018 enthielt. Diese Mitteilung erläutert, was passiert ist, welche Maßnahmen wir ergriffen haben und welche Schritte Sie dagegen unternehmen können .
Am 8. September 2018 erhielt Marriott von einem internen Sicherheitstool eine Warnung bezüglich eines Versuchs, auf die Starwood-Datenbank für Gästereservierungen zuzugreifen. Marriott engagierte schnell führende Sicherheitsexperten, um bei der Ermittlung des Vorfalls zu helfen. Marriott erfuhr während der Untersuchung, dass es seit 2014 unbefugten Zugriff auf das Starwood-Netzwerk gab. Marriott entdeckte kürzlich, dass eine unbefugte Partei Informationen kopiert und verschlüsselt hatte, und unternahm Schritte, um sie zu entfernen. Am 19. November 2018 konnte Marriott die Informationen entschlüsseln und feststellen, dass die Inhalte aus der Starwood-Datenbank für Gästereservierungen stammten.“
Wie viele Kunden sind also von der Verletzung betroffen?
„Marriott hat die Identifizierung doppelter Informationen in der Datenbank noch nicht abgeschlossen, glaubt jedoch, dass sie Informationen über bis zu etwa 500 Millionen Gäste enthält, die eine Reservierung in einem Starwood-Hotel vorgenommen haben. Für etwa 327 Millionen dieser Gäste umfassen die Informationen eine Kombination aus Name, Postanschrift, Telefonnummer, E-Mail-Adresse, Passnummer, Starwood Preferred Guest ('SPG')-Kontoinformationen, Geburtsdatum, Geschlecht, Ankunfts- und Abreiseinformationen, Reservierungsdatum und Kommunikationspräferenzen. Bei einigen enthalten die Informationen auch Zahlungskartennummern und Ablaufdaten von Zahlungskarten, aber die Zahlungskartennummern wurden mit Advanced Encryption Standard-Verschlüsselung (AES-128) verschlüsselt. Es sind zwei Komponenten erforderlich, um die Zahlungskartennummern zu entschlüsseln, und zu diesem Zeitpunkt konnte Marriott die Möglichkeit nicht ausschließen, dass beide gestohlen wurden. Für die übrigen Gäste beschränkten sich die Informationen auf den Namen und manchmal andere Daten wie Postanschrift, E-Mail-Adresse oder andere begrenzte Informationen.“
Beeindruckend. Es waren also mindestens ein paar hundert Millionen Menschen betroffen. Ich hoffe, dass genauere Zahlen herauskommen, wenn die Untersuchung nach dem Vorfall Fortschritte macht.
Ich bin froh, dass Marriott International den Verstoß weniger als ein paar Monate nach seiner Entdeckung gemeldet hat, das ist besser als das, was viele große Unternehmen als Reaktion darauf getan haben Datenverstöße. Ich bin auch froh, dass sie anscheinend so viele Informationen liefern, wie sie können. Und das ist ungefähr so viel Schönes, wie ich zu diesem Thema zu sagen habe.
Hier meine Kritik. Sie entdeckten die Lücke Anfang September. Viele der betroffenen Kunden sind zwangsläufig Bürger und Einwohner von Ländern der Europäischen Union. Die Datenschutz-Grundverordnung der EU trat im vergangenen Mai in Kraft, und das Gesetz gilt für die Daten dieser Kunden, auch wenn sie in einem Hotel außerhalb Europas übernachteten. Laut DSGVO müssen Verstöße innerhalb von 72 Stunden nach Entdeckung gemeldet werden. Die Zeit, die Marriott International brauchte, um diesen Verstoß zu melden, verstieß wahrscheinlich gegen die DSGVO. Die Zeit wird zeigen, ob das Unternehmen bestraft wird oder nicht.
Die Datenschutzgesetze in anderen Teilen der Welt sind in der Regel nicht so streng wie die DSGVO. Ich weiß, dass die kanadische PIPEDA-Verordnung keinen bestimmten Zeitrahmen für die Meldung von Verstößen vorschreibt! Aber manchmal hilft die DSGVO Opfern von Datenschutzverletzungen, die nicht aus der EU stammen. Wenn ein Verstoß Menschen auf der ganzen Welt betrifft, wie dies bei diesem Verstoß gegen Starwood der Fall ist, bedeutet die Tatsache, dass einige der Kunden aus der EU stammen, dass die Opfer des Verstoßes weltweit von dem Druck profitieren, innerhalb von 72 Stunden zu melden.
Dennoch brauchte Marriott International fast drei Monate nach der Entdeckung, um diesen Verstoß zu melden.
Es scheint, als hätte Marriott International die Ursache des Verstoßes am 10. September behoben, ein paar Tage nach der Entdeckung. Aber dieser Verstoß geht bis ins Jahr 2014 zurück. Marriott sagt, dass eine Art Sicherheitstool ihnen geholfen hat, den Verstoß zu entdecken. Wurde dieses Tool erst kürzlich implementiert? Fehlte es dem Netzwerk von Starwood bis vor Kurzem an geeigneten Geräten zur Erkennung von Eindringlingen, Protokollierung und SIEM? Diese Möglichkeit stört mich.
Dieser Verstoß betrifft nicht nur Kunden, die Mitglieder des Starwood Preferred Guest (SPG)-Programms sind, sondern auch Kunden, die keine SPG-Mitglieder sind. Wenn Sie glauben, dass Sie Opfer dieses Verstoßes geworden sind, können Sie Folgendes tun.
Wenn Sie ein SPG-Konto haben, ändern Sie dessen Passwort so bald wie möglich. Überwachen Sie dann Ihr SPG-Konto auf verdächtige Aktivitäten. Unabhängig davon, ob Sie SPG-Kunde sind oder nicht, sehen Sie sich Ihre Kreditkartenabrechnungen an, wenn Sie in einem dieser Starwood-Hotels eine Karte verwendet haben. Wenn etwas nicht stimmt, wenden Sie sich so schnell wie möglich an Ihre Bank oder den Kreditkartenaussteller. Sehen Sie, ob Sie Daten verletzt haben über Habe ich bedrängt. Denken Sie nur daran, dass Sie möglicherweise immer noch von der Marriott-Verletzung betroffen sind, selbst wenn Ihre Konten nicht in der Datenbank der Website erwähnt werden, und die Website möglicherweise Ihre verletzten Daten von unabhängigen Datenverletzungsvorfällen erwähnt. Im Zweifelsfall schadet es nicht, alle Passwörter für alles zu ändern! Stellen Sie vielleicht sicher, dass Sie einen seriösen Passwort-Manager verwenden, damit Sie viele komplexe Passwörter verwenden können, ohne eines davon auf Papier zu schreiben.
Relevante Unterlagen
Website-Malware-Scanner
Die Post Marriott Data Breach - Sie checken ein und Ihre persönlichen Daten werden ausgecheckt erschien zuerst auf Comodo News und Internet-Sicherheitsinformationen.
- &
- 10
- 2016
- a
- Über uns
- Zugang
- Nach
- Konto
- Aktivität
- Adresse
- advanced
- Afrika
- Alle
- Obwohl
- Amerika
- erschienen
- ca.
- um
- Asien
- Bank
- weil
- Bevor
- glaubt,
- Nutzen
- Besser
- zwischen
- Big Data
- Blockieren
- gebrandmarkt
- Marken
- Verletzung
- Verstöße
- rufen Sie uns an!
- Verursachen
- Kette
- Übernehmen
- Schecks
- Orte
- Sammlung
- Kombination
- wie die
- Kommunikation
- Unternehmen
- Komplex
- Komponenten
- betroffen
- enthält
- Inhalt
- Unternehmen
- KONZERN
- Konzerne
- Länder
- Paar
- Kredit
- Kreditkarte
- Kunde
- Kunden
- technische Daten
- Datenmissbrauch
- Datenschutz
- Datenschutz
- Datensicherheit
- Datenbase
- Datenbanken
- Datum
- Tage
- Design
- Entdeckung
- Bestimmen
- Geräte
- DID
- entdeckt,
- entdeckt
- Entdeckung
- Display
- Tut nicht
- nach unten
- im
- Früh
- bewirken
- Verschlüsselung
- EU
- Europa
- Europäische
- Europäische Union
- Experten
- Revolution
- Finanzdaten
- Vorname
- fixiert
- FRAME
- für
- DSGVO
- Geschlecht
- Allgemeines
- Allgemeine Datenschutzverordnung
- GUEST
- passiert
- Hilfe
- dazu beigetragen,
- hilft
- ein Geschenk
- Hotels
- Ultraschall
- HTTPS
- Login
- Identifizierung
- umgesetzt
- Bedeutung
- Dazu gehören
- zunehmend
- Info
- Information
- International
- Internet
- Internet Security
- untersuchen
- Untersuchung
- beteiligt
- IT
- Behalten
- Wissen
- grosse
- größer
- neueste
- Recht
- Gesetze
- führenden
- gelernt
- Limitiert
- aussehen
- gemacht
- um
- Malware
- Manager
- Materie
- Mittel
- Maßnahmen
- Mitglieder
- erwähnt
- Mittlerer Osten
- Million
- Millionen
- Geist / Bewusstsein
- Monat
- mehr
- vor allem warme
- Netzwerk
- News
- Anzahl
- Zahlen
- laufend
- Andere
- Papier
- Party
- Pass
- Passwort
- Passwörter
- Zahlung
- Zahlungskarte
- Personen
- vielleicht
- Zeit
- persönliche
- Points
- Punkte
- Mappe
- Möglichkeit
- möglich
- bevorzugt
- Presse
- Pressemitteilung
- Druck
- Datenschutz
- Programm
- immobilien
- Resorts
- Sicherheit
- Bereitstellung
- schnell
- Received
- kürzlich
- in Bezug auf
- Rechtliches
- Release
- verbleibenden
- Entfernen
- berichten
- Reservierung
- Antwort
- Sicherheitdienst
- mehrere
- da
- am Standort
- So
- einige
- etwas
- spezifisch
- Standard
- Aussagen
- bleiben
- blieb
- Immer noch
- Geschichte
- Das
- das Gesetz
- die Welt
- Tausende
- nach drei
- Zeit
- Werkzeug
- toronto
- gegenüber
- Städte
- typisch
- für
- versteht
- Gewerkschaft
- -
- Opfer
- W
- Ansehen
- Was
- ob
- WHO
- .
- ohne
- weltweit wie ausgehandelt und gekauft ausgeführt wird.
- Das weltweit
- Schreiben
- Jahr
- Ihr