Χρόνος διαβασματός: 5 πρακτικά
Οι παραβιάσεις δεδομένων συμβαίνουν με αυξανόμενη συχνότητα σε εταιρείες επωνυμίας και είναι σίγουρα λόγος ανησυχίας. Εκατομμύρια πελάτες σε όλο τον κόσμο συνήθως βλάπτονται από αυτά τα περιστατικά και τις περισσότερες φορές διαρρέουν ευαίσθητα στοιχεία ταυτότητας και οικονομικά δεδομένα.
Τώρα η πιο πρόσφατη ιστορία παραβίασης μεγάλων δεδομένων αφορά τη Marriott, μια πολύ μεγάλη διεθνή αλυσίδα ξενοδοχείων. Τα δεδομένα παραβίασης αφορούν άτομα που έχουν μείνει σε ξενοδοχεία Starwood Hotels and Resorts τουλάχιστον μία φορά μεταξύ 2014 (δεν δίνεται κατά προσέγγιση ημερομηνία) και 10 Σεπτεμβρίου 2018. Εάν δεν μείνατε σε ξενοδοχείο με επωνυμία Marriott κατά τη διάρκεια αυτής της χρονικής περιόδου, υπάρχει ακόμα λόγος να ανησυχείς. Η αλυσίδα Starwood Hotels and Resorts περιλαμβάνει τα W Hotels, St. Regis, Sheraton Hotels & Resorts, Westin Hotels & Resorts, Element Hotels, Aloft Hotels, The Luxury Collection, Tribute Portfolio ακίνητα, Le Méridien Hotels & Resorts, Four Points by Sheraton , και Design Hotels. Είναι αρκετά ενδιαφέρον, αν και το δελτίο τύπου που αναφέρει την παραβίαση είναι με την ονομασία Marriott International, δεδομένα που αφορούν συγκεκριμένα τη Marriott δεν εμπλέκονται σε αυτήν την παραβίαση επειδή οι βάσεις δεδομένων κρατήσεων Starwood και Marriott εξακολουθούν να είναι ξεχωριστές.
Ο μεγάλος αριθμός διεθνών ακινήτων και εμπορικών σημάτων είναι το αποτέλεσμα των συνεχιζόμενων εταιρικών συγχωνεύσεων τις τελευταίες δεκαετίες. Πιο πρόσφατα, η συγχώνευση της Marriott International και της Starwood εγκρίθηκε στις 23 Σεπτεμβρίου 2016. Γνωρίζω ότι αρκετά από αυτά τα ξενοδοχεία βρίσκονται στη γενέτειρά μου, το Τορόντο, και βρίσκονται επίσης σε πόλεις και μεγαλύτερες πόλεις σε όλη την Αμερική, την Ευρώπη, την Ασία , Αφρική, Ωκεανία και Μέση Ανατολή. Υπάρχουν συλλογικά χιλιάδες ακίνητα σε 130 χώρες. Εάν μείνατε σε ένα ωραίο ξενοδοχείο τα τελευταία χρόνια, υπάρχει πιθανότητα αυτή η παραβίαση να σας έχει επηρεάσει.
Η Marriott International ανέφερε την παραβίαση σε α δελτίο τύπου στις 30 Νοεμβρίου. Εξηγεί:
«Η Marriott εκτιμά τους πελάτες μας και κατανοεί τη σημασία της προστασίας των προσωπικών δεδομένων. Έχουμε λάβει μέτρα για τη διερεύνηση και την αντιμετώπιση ενός περιστατικού ασφάλειας δεδομένων που αφορά τη βάση δεδομένων κρατήσεων επισκεπτών Starwood. Η έρευνα διαπίστωσε ότι υπήρξε μη εξουσιοδοτημένη πρόσβαση στη βάση δεδομένων, η οποία περιείχε πληροφορίες επισκεπτών σχετικά με κρατήσεις σε ακίνητα Starwood στις ή πριν από τις 10 Σεπτεμβρίου 2018. Αυτή η ειδοποίηση εξηγεί τι συνέβη, μέτρα που λάβαμε και ορισμένα βήματα που μπορείτε να λάβετε ως απάντηση .
Στις 8 Σεπτεμβρίου 2018, η Marriott έλαβε μια ειδοποίηση από ένα εργαλείο εσωτερικής ασφάλειας σχετικά με μια προσπάθεια πρόσβασης στη βάση δεδομένων κρατήσεων επισκεπτών Starwood. Η Marriott προσέλαβε γρήγορα κορυφαίους εμπειρογνώμονες ασφαλείας για να βοηθήσουν στον προσδιορισμό του τι συνέβη. Η Marriott έμαθε κατά τη διάρκεια της έρευνας ότι υπήρχε μη εξουσιοδοτημένη πρόσβαση στο δίκτυο Starwood από το 2014. Η Marriott ανακάλυψε πρόσφατα ότι ένα μη εξουσιοδοτημένο μέρος είχε αντιγράψει και κρυπτογραφήσει πληροφορίες και έλαβε μέτρα για την αφαίρεσή τους. Στις 19 Νοεμβρίου 2018, η Marriott μπόρεσε να αποκρυπτογραφήσει τις πληροφορίες και διαπίστωσε ότι τα περιεχόμενα προέρχονταν από τη βάση δεδομένων κρατήσεων επισκεπτών Starwood.
Πόσοι πελάτες επηρεάζονται λοιπόν από την παραβίαση;
«Η Marriott δεν έχει ολοκληρώσει τον εντοπισμό διπλών πληροφοριών στη βάση δεδομένων, αλλά πιστεύει ότι περιέχει πληροφορίες για περίπου 500 εκατομμύρια επισκέπτες που έκαναν κράτηση σε ένα ακίνητο Starwood. Για περίπου 327 εκατομμύρια από αυτούς τους επισκέπτες, οι πληροφορίες περιλαμβάνουν κάποιο συνδυασμό ονόματος, ταχυδρομικής διεύθυνσης, αριθμού τηλεφώνου, διεύθυνσης email, αριθμού διαβατηρίου, στοιχείων λογαριασμού Starwood Preferred Guest («SPG»), ημερομηνίας γέννησης, φύλου, πληροφοριών άφιξης και αναχώρησης, ημερομηνία κράτησης και προτιμήσεις επικοινωνίας. Για ορισμένους, οι πληροφορίες περιλαμβάνουν επίσης αριθμούς καρτών πληρωμής και ημερομηνίες λήξης καρτών πληρωμής, αλλά οι αριθμοί των καρτών πληρωμής κρυπτογραφήθηκαν χρησιμοποιώντας την προηγμένη κρυπτογράφηση τυπικής κρυπτογράφησης (AES-128). Υπάρχουν δύο στοιχεία που απαιτούνται για την αποκρυπτογράφηση των αριθμών των καρτών πληρωμής και σε αυτό το σημείο η Marriott δεν μπόρεσε να αποκλείσει την πιθανότητα να έχουν ληφθεί και οι δύο. Για τους υπόλοιπους επισκέπτες, οι πληροφορίες περιορίζονταν στο όνομα και μερικές φορές σε άλλα δεδομένα, όπως ταχυδρομική διεύθυνση, διεύθυνση email ή άλλες περιορισμένες πληροφορίες."
Ουάου. Έτσι, τουλάχιστον μερικές εκατοντάδες εκατομμύρια άνθρωποι επηρεάστηκαν. Ελπίζω να βγουν πιο συγκεκριμένοι αριθμοί καθώς σημειώνεται πρόοδος στην έρευνα μετά το περιστατικό.
Χαίρομαι που η Marriott International ανέφερε την παραβίαση λιγότερο από λίγους μήνες αφότου την ανακάλυψαν, αυτό είναι καλύτερο από αυτό που έκαναν πολλές μεγάλες εταιρείες ως απάντηση στις παραβιάσεις δεδομένων. Χαίρομαι επίσης που φαίνεται να παρέχουν όσες περισσότερες πληροφορίες μπορούν. Και αυτό είναι για τόσα ωραία πράγματα όσα έχω να πω για αυτό το θέμα.
Εδώ είναι η κριτική μου. Ανακάλυψαν την παραβίαση στις αρχές Σεπτεμβρίου. Αναπόφευκτα, πολλοί από τους πελάτες που επηρεάζονται είναι πολίτες και κάτοικοι χωρών της Ευρωπαϊκής Ένωσης. Ο Γενικός Κανονισμός για την Προστασία Δεδομένων της ΕΕ τέθηκε σε ισχύ τον περασμένο Μάιο και ο νόμος ισχύει για τα δεδομένα αυτών των πελατών ακόμη και αν διέμεναν σε ξενοδοχείο εκτός Ευρώπης. Σύμφωνα με τον GDPR, οι παραβιάσεις πρέπει να αναφέρονται εντός 72 ωρών από την ανακάλυψη. Ο χρόνος που χρειάστηκε η Marriott International για να αναφέρει αυτή την παραβίαση πιθανώς παραβίαζε τον GDPR. Ο χρόνος θα δείξει εάν η εταιρεία επιβληθεί πρόστιμο ή όχι.
Οι νόμοι περί απορρήτου δεδομένων αλλού στον κόσμο συνήθως δεν είναι τόσο αυστηροί όσο ο GDPR. Γνωρίζω ότι ο κανονισμός PIPEDA του Καναδά δεν ορίζει συγκεκριμένο χρονικό πλαίσιο για την αναφορά παραβιάσεων! Ωστόσο, μερικές φορές ο GDPR βοηθά τα θύματα παραβίασης δεδομένων που δεν είναι από την ΕΕ. Εάν μια παραβίαση επηρεάζει ανθρώπους σε όλο τον κόσμο όπως αυτή η παραβίαση της Starwood, το γεγονός ότι ορισμένοι από τους πελάτες προέρχονται από την ΕΕ σημαίνει ότι τα θύματα της παραβίασης σε όλο τον κόσμο επωφελούνται από την πίεση να αναφέρουν εντός 72 ωρών.
Ωστόσο, η Marriott International χρειάστηκε σχεδόν τρεις μήνες μετά την ανακάλυψη για να αναφέρει αυτή την παραβίαση.
Φαίνεται ότι η Marriott International διόρθωσε την αιτία της παραβίασης στις 10 Σεπτεμβρίου, μερικές μέρες μετά την ανακάλυψη. Αλλά αυτή η παραβίαση πηγαίνει μέχρι το 2014. Η Marriott λέει ότι ένα εργαλείο ασφαλείας κάποιου είδους τους βοήθησε να ανακαλύψουν την παραβίαση. Αυτό το εργαλείο εφαρμόστηκε πολύ πρόσφατα; Έλειπε το δίκτυο της Starwood κατάλληλες συσκευές ανίχνευσης εισβολής, καταγραφής και SIEM μέχρι πολύ πρόσφατα; Αυτή η πιθανότητα με ενοχλεί.
Αυτή η παραβίαση δεν επηρεάζει μόνο πελάτες που είναι μέλη του προγράμματος Starwood Preferred Guest (SPG), αλλά και πελάτες που δεν είναι μέλη SPG. Εάν πιστεύετε ότι μπορεί να πέσετε θύμα αυτής της παραβίασης, δείτε τι μπορείτε να κάνετε.
Εάν έχετε λογαριασμό SPG, αλλάξτε τον κωδικό πρόσβασής του το συντομότερο δυνατό. Στη συνέχεια, παρακολουθήστε τον λογαριασμό σας SPG για ύποπτη δραστηριότητα. Είτε είστε πελάτης SPG είτε όχι, δείτε τα αντίγραφα κίνησης της πιστωτικής σας κάρτας εάν χρησιμοποιήσατε κάρτα σε κάποιο από αυτά τα ακίνητα της Starwood. Εάν κάτι φαίνεται να μην πάει καλά, καλέστε την τράπεζά σας ή τον εκδότη της πιστωτικής κάρτας το συντομότερο δυνατό. Δείτε αν έχετε παραβιάσει δεδομένα μέσω Έχω βιώσει. Απλώς λάβετε υπόψη ότι ενδέχεται να εξακολουθήσετε να επηρεάζεστε από την παραβίαση της Marriott, ακόμη και αν οι λογαριασμοί σας δεν αναφέρονται στη βάση δεδομένων του ιστότοπου και ο ιστότοπος μπορεί να αναφέρει τα παραβιασμένα δεδομένα σας από άσχετα περιστατικά παραβίασης δεδομένων. Σε περίπτωση αμφιβολίας, δεν βλάπτει να αλλάξετε όλους τους κωδικούς πρόσβασης για τα πάντα! Ίσως βεβαιωθείτε ότι χρησιμοποιείτε έναν αξιόπιστο διαχειριστή κωδικών πρόσβασης, ώστε να μπορείτε να χρησιμοποιείτε πολλούς σύνθετους κωδικούς πρόσβασης χωρίς να γράψετε κανέναν από αυτούς σε χαρτί.
Σχετικοί πόροι
Σαρωτής κακόβουλου ιστότοπου
Ο ορθοστάτης Marriott Data Breach - Ελέγχετε το Check in και τα προσωπικά σας στοιχεία εμφανίστηκε για πρώτη φορά σε Comodo Ειδήσεις και Πληροφορίες Ασφάλειας Διαδικτύου.
- &
- 10
- 2016
- a
- Σχετικά
- πρόσβαση
- Σύμφωνα με
- Λογαριασμός
- δραστηριότητα
- διεύθυνση
- προηγμένες
- Αφρική
- Όλα
- Αν και
- Αμερική
- Εμφανίστηκε
- περίπου
- γύρω
- Ασία
- Τράπεζα
- επειδή
- πριν
- πιστεύει
- όφελος
- Καλύτερα
- μεταξύ
- Big Data
- Αποκλεισμός
- σεσημασμένος
- μάρκες
- παραβίαση
- παραβιάσεις
- κλήση
- Αιτία
- αλυσίδα
- αλλαγή
- έλεγχοι
- Πόλεις
- συλλογή
- συνδυασμός
- Ελάτε
- Επικοινωνία
- Εταιρείες
- συγκρότημα
- εξαρτήματα
- ενδιαφερόμενος
- Περιέχει
- περιεχόμενα
- Εταιρικές εκδηλώσεις
- ΕΤΑΙΡΕΙΑ
- Εταιρείες
- χώρες
- Ζευγάρι
- μονάδες
- πιστωτική κάρτα
- πελάτης
- Πελάτες
- ημερομηνία
- παραβιάσεων δεδομένων
- Προστασία προσωπικών δεδομένων
- την προστασία των δεδομένων
- την ασφάλεια των δεδομένων
- βάση δεδομένων
- βάσεις δεδομένων
- Ημερομηνίες
- Ημ.
- Υπηρεσίες
- Ανίχνευση
- Προσδιορίστε
- Συσκευές
- DID
- ανακαλύπτουν
- ανακάλυψαν
- ανακάλυψη
- Display
- Όχι
- κάτω
- κατά την διάρκεια
- Νωρίς
- αποτέλεσμα
- ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ
- κρυπτογράφηση
- EU
- Ευρώπη
- ευρωπαϊκός
- Ευρωπαϊκή Ένωση
- εμπειρογνώμονες
- οικονομικός
- ΟΙΚΟΝΟΜΙΚΑ ΣΤΟΙΧΕΙΑ
- Όνομα
- καθορίζεται
- ΠΛΑΙΣΙΟ
- από
- GDPR
- Φύλο
- General
- Γενικός κανονισμός για την προστασία των δεδομένων
- Επισκέπτης
- συνέβη
- βοήθεια
- βοήθησε
- βοηθά
- ελπίζω
- ξενοδοχείο
- Πως
- HTTPS
- Αναγνώριση
- προσδιορισμό
- εφαρμοστεί
- σπουδαιότητα
- περιλαμβάνει
- αύξηση
- πληροφορίες
- πληροφορίες
- International
- Internet
- Ασφάλεια στο Διαδίκτυο
- διερευνήσει
- έρευνα
- συμμετέχουν
- IT
- Διατήρηση
- Ξέρω
- large
- μεγαλύτερος
- αργότερο
- Νόμος
- Του νόμου
- που οδηγεί
- μάθει
- Περιωρισμένος
- ματιά
- που
- κάνω
- malware
- διευθυντής
- ύλη
- μέσα
- μέτρα
- Μέλη
- που αναφέρθηκαν
- Μέση Ανατολή
- εκατομμύριο
- εκατομμύρια
- νου
- μήνες
- περισσότερο
- πλέον
- δίκτυο
- νέα
- αριθμός
- αριθμοί
- συνεχή
- ΑΛΛΑ
- Χαρτί
- κόμμα
- διαβατήριο
- Κωδικός Πρόσβασης
- Κωδικοί πρόσβασης
- πληρωμή
- Κάρτα πληρωμής
- People
- ίσως
- περίοδος
- προσωπικός
- Σημείο
- σημεία
- χαρτοφυλάκιο
- δυνατότητα
- δυνατός
- προτιμάται
- τύπος
- Δελτίο Τύπου
- χυτρα
- μυστικότητα
- Πρόγραμμα
- ιδιότητες
- περιουσία
- προστασία
- χορήγηση
- γρήγορα
- έλαβε
- πρόσφατα
- σχετικά με
- Ρυθμιστικές Αρχές
- απελευθερώνουν
- υπόλοιπα
- αφαίρεση
- αναφέρουν
- Κρατήσεις
- απάντησης
- ασφάλεια
- διάφοροι
- αφού
- ιστοσελίδα
- So
- μερικοί
- κάτι
- συγκεκριμένες
- πρότυπο
- δηλώσεις
- παραμονή
- έμεινε
- Ακόμη
- Ιστορία
- Η
- ο νόμος
- ο κόσμος
- πράγματα
- χιλιάδες
- τρία
- ώρα
- εργαλείο
- Τορόντο
- προς
- πόλεις
- συνήθως
- υπό
- καταλαβαίνει
- ένωση
- χρήση
- θύματα
- W
- Δες
- Τι
- αν
- Ο ΟΠΟΊΟΣ
- εντός
- χωρίς
- κόσμος
- παγκόσμιος
- γραφή
- χρόνια
- Σας