Momento della lettura: 5 verbale
Le violazioni dei dati si verificano con crescente frequenza nelle aziende di marca ed è certamente motivo di preoccupazione. Milioni di clienti in tutto il mondo vengono generalmente danneggiati da questi incidenti e il più delle volte vengono divulgati dati identificativi e finanziari sensibili.
Ora l’ultima storia di violazione di big data riguarda Marriott, una grande catena alberghiera internazionale. I dati violati riguardano persone che hanno soggiornato presso le proprietà Starwood Hotels and Resorts almeno una volta tra il 2014 (non viene fornita una data approssimativa) e il 10 settembre 2018. Se non hai soggiornato in un hotel a marchio Marriott durante questo periodo di tempo, c'è hai ancora motivo di preoccuparti. La catena Starwood Hotels and Resorts comprende W Hotels, St. Regis, Sheraton Hotels & Resorts, Westin Hotels & Resorts, Element Hotels, Aloft Hotels, le proprietà The Luxury Collection, le proprietà Tribute Portfolio, Le Méridien Hotels & Resorts, Four Points by Sheraton e Design Hotel. È interessante notare che, sebbene il comunicato stampa che riporta la violazione sia sotto il nome di Marriott International, i dati specifici di Marriott non sono stati coinvolti in questa violazione perché i database delle prenotazioni di Starwood e Marriott sono ancora separati.
Il gran numero di proprietà e marchi internazionali è il risultato delle fusioni aziendali in corso negli ultimi decenni. Più recentemente, la fusione tra Marriott International e Starwood è stata approvata il 23 settembre 2016. So che molti di questi hotel si trovano nella mia città natale, Toronto, e si trovano anche in città e paesi più grandi in tutte le Americhe, Europa, Asia , Africa, Oceania e Medio Oriente. Ci sono collettivamente migliaia di proprietà in 130 paesi. Se negli ultimi anni hai soggiornato in un bell'hotel, è possibile che questa violazione abbia avuto un impatto su di te.
Marriott International ha segnalato la violazione in a comunicato stampa il 30 novembre. Spiega:
“Marriott valorizza i nostri ospiti e comprende l'importanza di proteggere le informazioni personali. Abbiamo adottato misure per indagare e affrontare un incidente relativo alla sicurezza dei dati che ha coinvolto il database delle prenotazioni degli ospiti di Starwood. L'indagine ha stabilito che si è verificato un accesso non autorizzato al database, che conteneva informazioni sugli ospiti relative alle prenotazioni presso le proprietà Starwood effettuate entro il 10 settembre 2018. Questo avviso spiega cosa è successo, le misure che abbiamo adottato e alcune misure che è possibile intraprendere in risposta .
L'8 settembre 2018, Marriott ha ricevuto un avviso da uno strumento di sicurezza interno relativo a un tentativo di accesso al database delle prenotazioni degli ospiti di Starwood. Marriott ha rapidamente coinvolto i principali esperti di sicurezza per aiutare a determinare cosa è successo. Marriott ha appreso durante l'indagine che vi era stato un accesso non autorizzato alla rete Starwood dal 2014. Marriott ha recentemente scoperto che una parte non autorizzata aveva copiato e crittografato le informazioni e ha adottato misure per rimuoverle. Il 19 novembre 2018, Marriott è stata in grado di decrittografare le informazioni e ha stabilito che i contenuti provenivano dal database delle prenotazioni degli ospiti di Starwood.
Quindi quanti clienti sono interessati dalla violazione?
“Marriott non ha finito di identificare le informazioni duplicate nel database, ma ritiene che contenga informazioni su circa 500 milioni di ospiti che hanno effettuato una prenotazione presso una proprietà Starwood. Per circa 327 milioni di questi ospiti, le informazioni includono una combinazione di nome, indirizzo postale, numero di telefono, indirizzo e-mail, numero di passaporto, informazioni sull'account Starwood Preferred Guest ("SPG"), data di nascita, sesso, informazioni su arrivo e partenza, data di prenotazione e preferenze di comunicazione. Per alcuni, le informazioni includono anche i numeri delle carte di pagamento e le date di scadenza delle carte di pagamento, ma i numeri delle carte di pagamento sono stati crittografati utilizzando la crittografia Advanced Encryption Standard (AES-128). Sono due i componenti necessari per decriptare i numeri delle carte di pagamento e a questo punto Marriott non ha potuto escludere la possibilità che siano stati prelevati entrambi. Per gli altri ospiti, le informazioni erano limitate al nome e talvolta ad altri dati come indirizzo postale, indirizzo e-mail o altre informazioni limitate.
Oh. Quindi furono colpite almeno alcune centinaia di milioni di persone. Spero che emergano numeri più specifici man mano che verranno compiuti i progressi nelle indagini post-incidente.
Sono felice che Marriott International abbia denunciato la violazione meno di pochi mesi dopo averla scoperta, è meglio di quello che molte grandi aziende hanno fatto in risposta alle loro violazioni dei dati. Sono anche felice che sembrino fornire quante più informazioni possibile. E queste sono tutte le cose belle che ho da dire su questo argomento.
Ecco le mie critiche. Hanno scoperto la violazione all'inizio di settembre. Inevitabilmente molti dei clienti interessati sono cittadini e residenti nei paesi dell’Unione Europea. Il regolamento generale sulla protezione dei dati dell'UE è entrato in vigore lo scorso maggio e la legge si applica ai dati di tali clienti anche se soggiornavano in un hotel fuori dall'Europa. Secondo il GDPR, le violazioni devono essere segnalate entro 72 ore dalla scoperta. Il tempo impiegato da Marriott International per segnalare questa violazione probabilmente ha violato il GDPR. Il tempo dirà se la società verrà multata o meno.
Le leggi sulla privacy dei dati in altre parti del mondo in genere non sono così rigide come il GDPR. So che il regolamento PIPEDA canadese non impone un periodo di tempo specifico per la segnalazione delle violazioni! Ma a volte il GDPR aiuta le vittime di violazione dei dati che non provengono dall’UE. Se una violazione colpisce persone in tutto il mondo, come nel caso di questa violazione di Starwood, il fatto che alcuni clienti provengano dall'UE significa che le vittime della violazione in tutto il mondo beneficiano della pressione di denunciare entro 72 ore.
Tuttavia, Marriott International ha impiegato quasi tre mesi dopo la scoperta per segnalare questa violazione.
Sembra che Marriott International abbia risolto la causa della violazione il 10 settembre, un paio di giorni dopo la scoperta. Ma questa violazione risale al 2014. Marriott afferma che uno strumento di sicurezza di qualche tipo li ha aiutati a scoprire la violazione. Questo strumento è stato implementato solo di recente? Fino a poco tempo fa, la rete di Starwood era priva di dispositivi adeguati per il rilevamento delle intrusioni, la registrazione e il SIEM? Questa possibilità mi dà fastidio.
Questa violazione non colpisce solo i clienti membri del programma Starwood Preferred Guest (SPG), ma anche i clienti che non sono membri SPG. Se pensi di poter essere vittima di questa violazione, ecco cosa puoi fare.
Se disponi di un account SPG, modificane la password appena possibile. Quindi controlla il tuo account SPG per attività sospette. Che tu sia o meno un cliente SPG, controlla gli estratti conto della tua carta di credito se hai utilizzato una carta in una di queste proprietà Starwood. Se qualcosa non va, chiama la tua banca o l'emittente della carta di credito il prima possibile. Verifica se hai violato i dati tramite Sono stato pegno?. Tieni presente che potresti comunque essere interessato dalla violazione di Marriott anche se i tuoi account non sono menzionati nel database del sito e il sito potrebbe menzionare i tuoi dati violati da incidenti di violazione dei dati non correlati. In caso di dubbio, non fa male cambiare tutte le tue password per tutto! Forse assicurati di utilizzare un gestore di password affidabile in modo da poter utilizzare molte password complesse senza scriverne nessuna su carta.
Risorse correlate
Scansione malware per siti Web
Il post Marriott Data Breach - Check-in e check-out delle informazioni personali apparve prima Notizie Comodo e informazioni sulla sicurezza di Internet.
- &
- 10
- 2016
- a
- Chi siamo
- accesso
- Secondo
- Il mio account
- attività
- indirizzo
- Avanzate
- Africa
- Tutti
- Sebbene il
- Americas
- apparso
- circa
- in giro
- Asia
- Banca
- perché
- prima
- crede
- beneficio
- Meglio
- fra
- Big Data
- Bloccare
- marcato
- marche
- violazione
- violazioni
- chiamata
- Causare
- catena
- il cambiamento
- Controlli
- Città
- collezione
- combinazione
- Venire
- Comunicazione
- Aziende
- complesso
- componenti
- interessato
- contiene
- testuali
- Aziende
- SOCIETÀ
- Corporazioni
- paesi
- Coppia
- credito
- carta di credito
- cliente
- Clienti
- dati
- violazione di dati
- privacy dei dati
- protezione dati
- la sicurezza dei dati
- Banca Dati
- banche dati
- Date
- Giorni
- Design
- rivelazione
- Determinare
- dispositivi
- DID
- scopri
- scoperto
- scoperta
- Dsiplay
- non
- giù
- durante
- Presto
- effetto
- crittografia
- EU
- Europa
- europeo
- Unione europea
- esperti
- finanziario
- dati finanziari
- Nome
- fisso
- TELAIO
- da
- GDPR
- Sesso
- Generale
- Regolamento generale sulla protezione dei dati
- GUEST
- successo
- Aiuto
- aiutato
- aiuta
- speranza
- Hotel
- Come
- HTTPS
- Identificazione
- identificazione
- implementato
- importanza
- inclusi
- crescente
- info
- informazioni
- Internazionale
- Internet
- Internet Security
- indagare
- indagine
- coinvolto
- IT
- mantenere
- Sapere
- grandi
- superiore, se assunto singolarmente.
- con i più recenti
- Legge
- Legislazione
- principale
- imparato
- Limitato
- Guarda
- fatto
- make
- il malware
- direttore
- Importanza
- si intende
- analisi
- Utenti
- menzionato
- Medio Oriente
- milione
- milioni
- mente
- mese
- Scopri di più
- maggior parte
- Rete
- notizie
- numero
- numeri
- in corso
- Altro
- Carta
- partito
- passaporto
- Password
- Le password
- Pagamento
- Carta di pagamento
- Persone
- Forse
- periodo
- cronologia
- punto
- punti
- lavori
- possibilità
- possibile
- preferito
- stampa
- Comunicati Stampa
- pressione
- Privacy
- Programma
- proprietà
- proprietà
- protezione
- fornitura
- rapidamente
- ricevuto
- recentemente
- per quanto riguarda
- Regolamento
- rilasciare
- rimanente
- rimozione
- rapporto
- prenotazione
- risposta
- problemi di
- alcuni
- da
- site
- So
- alcuni
- qualcosa
- specifico
- Standard
- dichiarazioni
- soggiorno
- rimasto
- Ancora
- Storia
- I
- la legge
- il mondo
- cose
- migliaia
- tre
- tempo
- toronto
- verso
- città
- tipicamente
- per
- capisce
- unione
- uso
- vittime
- W
- Orologio
- Che
- se
- OMS
- entro
- senza
- mondo
- In tutto il mondo
- scrittura
- anni
- Trasferimento da aeroporto a Sharm