זמן קריאה: 5 דקות
הפרות נתונים מתרחשות בתדירות הולכת וגוברת בחברות מותגי שם, וזה בהחלט גורם לדאגה. מיליוני לקוחות ברחבי העולם נפגעים בדרך כלל כתוצאה מאירועים אלה, ולעיתים קרובות יותר מדליפות זיהוי ונתונים פיננסיים רגישים.
עכשיו סיפור הפרת הנתונים הגדולים האחרון הוא על מריוט, רשת מלונות בינלאומית גדולה מאוד. הנתונים שנפרצו נוגעים לאנשים ששהו בסטארווד מלונות וריזורטים לפחות פעם אחת בין 2014 (לא ניתן תאריך משוער) ל -10 בספטמבר 2018. אם לא שהיתם במלון ממותג של מריוט בתקופת זמן זו, יש עדיין סיבה לך להיות מודאג. רשת מלונות ואתרי הנופש סטארווד כוללת את מלונות W, סנט רג'יס, מלונות שרתון & אתרי נופש, ווסטין מלונות אנד ריזורטס, מלונות אלמנט, מלונות אלופט, נכסי אוסף היוקרה, נכסי תיקי מחווה, מלונות אנד רזורט לה מרידיאן, ארבע נקודות מאת שרתון. , ומלונות עיצוב. מעניין לציין, למרות שההודעה לעיתונות המדווחת על ההפרה היא תחת השם מריוט בינלאומי, נתונים ספציפיים למריוט לא היו מעורבים בהפרה זו מכיוון שמאגרי ההזמנות סטארווד ומריוט עדיין נפרדים.
המספר הגדול של נכסים ומותגים בינלאומיים הוא תוצאה של מיזוגים עסקיים מתמשכים בעשורים האחרונים. לאחרונה אושר המיזוג של מריוט אינטרנשיונל וסטארווד ב- 23 בספטמבר 2016. אני יודע שכמה ממלונות אלה נמצאים בעיר הולדתיי טורונטו, והם נמצאים גם בערים ובעיירות גדולות יותר ברחבי אמריקה, אירופה, אסיה , אפריקה, אוקיאניה והמזרח התיכון. יש ביחד אלפי נכסים ב -130 מדינות. אם נשארתם במלון נחמד בשנים האחרונות, יש סיכוי שהפרה הזו השפיעה עליכם.
מריוט אינטרנשיונל אינטרנשיונל דיווחה על ההפרה בסעיף א בידיעה שהונפקה לתקשורת ב -30 בנובמבר. זה מסביר:
"מריוט מעריך את האורחים שלנו ומבין את החשיבות של הגנה על מידע אישי. נקטנו באמצעים כדי לחקור ולהתייחס לאירוע אבטחת מידע הכולל את מסד הנתונים להזמנת אורחים של סטארווד. מהחקירה נקבע כי הייתה גישה בלתי מורשית למאגר, שהכיל מידע על אורחים הנוגע להזמנות בנכסי סטארווד לפני 10 בספטמבר 2018. הודעה זו מסבירה מה קרה, צעדים שנקטנו וכמה צעדים שתוכלו לנקוט בתגובה .
ב- 8 בספטמבר 2018 קיבלה מריוט התראה מכלי אבטחה פנימית בנוגע לניסיון לגשת למאגר ההזמנות האורח של סטארווד. מריוט העסיקה במהירות מומחי אבטחה מובילים כדי לעזור לקבוע מה התרחש. במריוט נודע במהלך החקירה כי הייתה גישה בלתי מורשית לרשת סטארווד מאז 2014. מריוט גילה לאחרונה כי גורם בלתי מורשה העתיק והצפין מידע, ונקט צעדים לקראת הסרתו. ב- 19 בנובמבר 2018, מריוט הצליחה לפענח את המידע וקבעה כי התוכן היה ממאגר ההזמנות האורח של סטארווד. "
אז כמה לקוחות מושפעים מההפרה?
"מריוט לא סיימה לזהות מידע כפול במאגר המידע, אולם היא מאמינה שהוא מכיל מידע על עד כ -500 מיליון אורחים שהזמינו נכס בסטארווד. עבור כ 327 מיליון מהאורחים הללו, המידע כולל שילוב כלשהו של שם, כתובת למשלוח, מספר טלפון, כתובת דוא"ל, מספר דרכון, פרטי חשבון Starwood מועדף ('SPG'), תאריך לידה, מין, מידע על הגעה ויציאה, תאריך הזמנה והעדפות תקשורת. עבור חלקם, המידע כולל גם מספרי כרטיסי תשלום ותאריכי תפוגה של כרטיסי תשלום, אך מספרי כרטיסי התשלום הוצפנו באמצעות הצפנת Advanced Encryption Standard (AES-128). ישנם שני רכיבים הדרושים לפענוח מספרי כרטיסי התשלום, ובשלב זה מריוט לא הצליחה לשלול את האפשרות ששניהם נלקחו. עבור שאר האורחים, המידע היה מוגבל לשם ולפעמים נתונים אחרים כגון כתובת דואר, כתובת דוא"ל או מידע מוגבל אחר. "
וואו. אז לפחות כמה מאות מיליוני אנשים נפגעו. אני מקווה שמספרים ספציפיים יותר יצאו ככל שמתקדמות בחקירה שלאחר האירוע.
אני שמח שמריוט אינטרנשיונל דיווחה על ההפרה פחות מכמה חודשים לאחר שגילו את זה, זה טוב יותר ממה שעשו הרבה חברות גדולות בתגובה הפרות נתונים. אני גם שמח שהם כנראה מספקים מידע רב ככל שהם יכולים. וזה בערך כמה דברים נחמדים שיש לי לומר בעניין זה.
להלן הביקורות שלי. הם גילו את הפרצה בתחילת ספטמבר. בהכרח רבים מהלקוחות שהושפעו הם אזרחים ותושבים במדינות האיחוד האירופי. תקנת הגנת המידע הכללית של האיחוד האירופי נכנסה לתוקף במאי האחרון, והחוק חל על נתונים של אותם לקוחות גם אם שהו במלון מחוץ לאירופה. על פי ה- GDPR, יש לדווח על הפרות תוך 72 שעות מרגע הגילוי. הזמן שלקח במריאט אינטרנשיונל לדווח על הפרה זו הפר את ה- GDPR. הזמן יגיד אם התאגיד נקנס או לא.
חוקי פרטיות הנתונים במקומות אחרים בעולם בדרך כלל אינם מחמירים כמו ה- GDPR. אני יודע כי תקנת PIPEDA של קנדה אינה מחייבת מסגרת זמן ספציפית לדיווח על הפרות! אבל לפעמים ה- GDPR עוזר להפרת נתונים של קורבנות שאינם מהאיחוד. אם הפרה פוגעת באנשים בכל רחבי העולם כפי שעושה הפרה זו של סטארווד, העובדה שחלק מהלקוחות הם מהאיחוד האירופי פירושה שקורבנות הפרות ברחבי העולם נהנים מהלחץ להתייצב תוך 72 שעות.
ובכל זאת, מריוט אינטרנשיונל אינטרנשיונל לקח כמעט שלושה חודשים לאחר הגילוי לדווח על הפרה זו.
נראה שמריוט אינטרנשיונל תיקן את סיבת ההפרה ב -10 בספטמבר, כמה ימים לאחר הגילוי. אולם הפרה זו כל הדרך חזרה לשנת 2014. מריוט אומרת כי כלי אבטחה מסוג כלשהו עזר להם לגלות את הפרצה. האם הכלי הזה מיושם רק לאחרונה? האם הרשת של סטארווד לא חסרה התקני איתור חדירה, כריתת עצים ו- SIEM עד לא מזמן? אפשרות זו מפריעה לי.
הפרה זו לא משפיעה רק על לקוחות שהם חברי התוכנית Starwood Preferred Guest (SPG), אלא גם על לקוחות שאינם חברי SPG. אם אתה חושב שאתה עשוי להיות קורבן להפרה הזו, הנה מה שאתה יכול לעשות.
אם יש לך חשבון SPG, שנה את הסיסמה שלו בהקדם האפשרי. ואז צפה בחשבון SPG שלך לצורך פעילות חשודה. בין אם אתה לקוח SPG ובין אם לא, עיין בהצהרות כרטיסי האשראי שלך אם השתמשת בכרטיס באחד מהנכסים הללו של סטארווד. אם משהו נראה לא תקין, התקשר לבנק שלך או למנפיק כרטיסי האשראי בהקדם האפשרי. בדוק אם הפרת נתונים באמצעות יש לי Pwned. רק זכור שאתה עדיין עלול להיות מושפע מהפרת מריוט גם אם חשבונותיך לא מוזכרים במאגר המידע של האתר, והאתר עשוי להזכיר את הנתונים שהפרצת שלך מאירועי הפרת נתונים שאינם קשורים. כאשר יש ספק, לא יזיק לשנות את כל הסיסמאות שלך לכל דבר! אולי הקפד להשתמש במנהל סיסמאות מכובד כדי שתוכל להשתמש בהרבה סיסמאות מורכבות מבלי לרשום אף אחת מהן על הנייר.
משאבים קשורים
סורק תוכנות זדוניות באתר
ההודעה הפרת נתונים של מריוט - אתה נכנס והמידע האישי שלך יוצא הופיע לראשונה ב חדשות קומודו ומידע בנושא אבטחת אינטרנט.
- &
- 10
- 2016
- a
- אודות
- גישה
- פי
- חֶשְׁבּוֹן
- פעילות
- כתובת
- מתקדם
- אפריקה
- תעשיות
- למרות
- אמריקה
- נראה
- בערך
- סביב
- אסיה
- בנק
- כי
- לפני
- מאמין
- תועלת
- מוטב
- בֵּין
- נתונים גדולים
- לחסום
- ממותגים
- מותגים
- הפרה
- פרות
- שיחה
- לגרום
- שרשרת
- שינוי
- בדיקות
- ערים
- אוסף
- שילוב
- איך
- תקשורת
- חברות
- מורכב
- רכיבים
- מודאג
- מכיל
- תוכן
- משותף
- תַאֲגִיד
- תאגידים
- מדינות
- זוג
- אשראי
- כרטיס אשראי
- לקוח
- לקוחות
- נתונים
- נתוני פרה
- פרטיות מידע
- הגנה על נתונים
- אבטחת מידע
- מסד נתונים
- מאגרי מידע
- תאריכים
- ימים
- עיצוב
- איתור
- לקבוע
- התקנים
- DID
- לגלות
- גילה
- תגלית
- לְהַצִיג
- לא
- מטה
- בְּמַהֲלָך
- מוקדם
- השפעה
- אמייל
- הצף
- EU
- אירופה
- אֵירוֹפִּי
- האיחוד האירופי
- מומחים
- כספי
- מידע פיננסי
- ראשון
- קבוע
- מסגרת
- החל מ-
- GDPR
- מין
- כללי
- ומרגולצית הנתונים הכללית
- אוֹרֵחַ
- קרה
- לעזור
- עזר
- עוזר
- לקוות
- מלון
- איך
- HTTPS
- הזדהות
- זיהוי
- יושם
- חשיבות
- כולל
- גדל
- מידע
- מידע
- ברמה בינלאומית
- אינטרנט
- Internet Security
- לחקור
- חקירה
- מעורב
- IT
- שמור
- לדעת
- גָדוֹל
- גדול יותר
- האחרון
- חוק
- חוקים
- מוביל
- למד
- מוגבל
- נראה
- עשוי
- לעשות
- תוכנות זדוניות
- מנהל
- דבר
- אומר
- אמצעים
- להרשם/להתחבר
- מוּזְכָּר
- המזרח התיכון
- מִילִיוֹן
- מיליונים
- אכפת לי
- חודשים
- יותר
- רוב
- רשת
- חדשות
- מספר
- מספרים
- מתמשך
- אחר
- מאמר
- צד
- דרכון
- סיסמה
- סיסמאות
- תשלום
- כרטיס תשלום
- אֲנָשִׁים
- אוּלַי
- תקופה
- אישי
- נקודה
- נקודות
- תיק עבודות
- אפשרות
- אפשרי
- מועדף
- ללחוץ
- עיתונות ופרסומים
- לחץ
- פְּרָטִיוּת
- תָכְנִית
- נכסים
- רכוש
- .
- מתן
- מהירות
- קיבלו
- לאחרונה
- בדבר
- תקנה
- לשחרר
- נותר
- הסרת
- לדווח
- הזמנה
- תגובה
- אבטחה
- כמה
- since
- אתר
- So
- כמה
- משהו
- ספציפי
- תֶקֶן
- הצהרות
- להשאר
- נשאר
- עוד
- סיפור
- השמיים
- החוק
- העולם
- דברים
- אלפים
- שְׁלוֹשָׁה
- זמן
- כלי
- טורונטו
- לקראת
- עיירות
- בדרך כלל
- תחת
- מבין
- התאחדות
- להשתמש
- קורבנות
- W
- שעון
- מה
- אם
- מי
- בתוך
- לְלֹא
- עוֹלָם
- עולמי
- כתיבה
- שנים