Leestijd: 5 minuten
Datalekken komen steeds vaker voor bij bedrijven van naammerken, en dat is zeker zorgwekkend. Miljoenen klanten over de hele wereld worden doorgaans getroffen door deze incidenten en vaker lekken gevoelige identificatiegegevens en financiële gegevens uit.
Nu gaat het laatste verhaal over big data-inbreuken over Marriott, een zeer grote internationale hotelketen. De gelekte gegevens hebben betrekking op mensen die tussen 2014 en 10 september 2018 ten minste één keer in Starwood Hotels and Resorts-hotels hebben verbleven (er wordt geen geschatte datum gegeven). Als u in deze periode niet in een Marriott-hotel heeft verbleven, is er nog steeds reden voor u om bezorgd te zijn. De Starwood Hotels and Resorts-keten omvat de W Hotels, St.Regis, Sheraton Hotels & Resorts, Westin Hotels & Resorts, Element Hotels, Aloft Hotels, The Luxury Collection-eigendommen, Tribute Portfolio-eigendommen, Le Méridien Hotels & Resorts, Four Points by Sheraton , en Design Hotels. Interessant genoeg, hoewel het persbericht waarin de inbreuk wordt gemeld onder de naam Marriott International valt, waren er geen Marriott-specifieke gegevens bij deze inbreuk omdat de reserveringsdatabases van Starwood en Marriott nog steeds gescheiden zijn.
Het grote aantal internationale eigendommen en merken is het resultaat van voortdurende bedrijfsfusies in de afgelopen decennia. Meest recentelijk werd de fusie van Marriott International en Starwood op 23 september 2016 goedgekeurd. Ik weet dat verschillende van die hotels zich in mijn geboorteplaats Toronto bevinden, en ze bevinden zich ook in steden en grotere steden in heel Amerika, Europa, Azië , Afrika, Oceanië en het Midden-Oosten. Er zijn gezamenlijk duizenden eigendommen in 130 landen. Als u de afgelopen jaren in een mooi hotel heeft verbleven, bestaat de kans dat deze inbreuk op u van invloed is geweest.
Marriott International meldde de inbreuk in een persbericht op 30 november. Het legt uit:
“Marriott waardeert onze gasten en begrijpt het belang van het beschermen van persoonlijke informatie. We hebben maatregelen genomen om een gegevensbeveiligingsincident met betrekking tot de Starwood-gastenreserveringsdatabase te onderzoeken en aan te pakken. Uit het onderzoek is gebleken dat er ongeautoriseerde toegang was tot de database, die gastinformatie bevatte met betrekking tot reserveringen bij Starwood-eigendommen op of voor 10 september 2018. In dit bericht wordt uitgelegd wat er is gebeurd, de maatregelen die we hebben genomen en enkele stappen die u kunt ondernemen om hierop te reageren .
Op 8 september 2018 ontving Marriott een waarschuwing van een interne beveiligingstool met betrekking tot een poging om toegang te krijgen tot de Starwood-gastenreserveringsdatabase. Marriott schakelde snel toonaangevende beveiligingsexperts in om te helpen bepalen wat er gebeurde. Marriott ontdekte tijdens het onderzoek dat er sinds 2014 ongeautoriseerde toegang was tot het Starwood-netwerk. Marriott ontdekte onlangs dat een ongeautoriseerde partij informatie had gekopieerd en versleuteld en heeft stappen ondernomen om deze te verwijderen. Op 19 november 2018 wist Marriott de informatie te ontsleutelen en stelde vast dat de inhoud afkomstig was uit de gastenreservatiedatabase van Starwood. ”
Dus hoeveel klanten worden getroffen door de inbreuk?
“Marriott is nog niet klaar met het identificeren van dubbele informatie in de database, maar meent dat het informatie bevat over tot ongeveer 500 miljoen gasten die een reservering hebben gemaakt bij een Starwood-accommodatie. Voor ongeveer 327 miljoen van deze gasten omvat de informatie een combinatie van naam, postadres, telefoonnummer, e-mailadres, paspoortnummer, Starwood Preferred Guest ('SPG') -accountinformatie, geboortedatum, geslacht, aankomst- en vertrekinformatie, reserveringsdatum en communicatievoorkeuren. Voor sommigen omvat de informatie ook betaalkaartnummers en vervaldatums van betaalkaarten, maar de betaalkaartnummers werden versleuteld met Advanced Encryption Standard encryption (AES-128). Er zijn twee componenten nodig om de betaalkaartnummers te ontsleutelen, en op dit moment heeft Marriott de mogelijkheid niet uitgesloten dat ze allebei zijn genomen. Voor de overgebleven gasten was de informatie beperkt tot naam en soms andere gegevens zoals postadres, e-mailadres of andere beperkte informatie. ”
Wauw. Er werden dus minstens een paar honderd miljoen mensen getroffen. Ik hoop dat er meer specifieke cijfers naar voren komen naarmate er vooruitgang wordt geboekt in het onderzoek na het incident.
Ik ben blij dat Marriott International de overtreding meldde minder dan een paar maanden nadat ze het ontdekten, dat is beter dan wat veel grote bedrijven hebben gedaan als reactie op hun datalekken. Ik ben ook blij dat ze zoveel informatie lijken te verstrekken als ze kunnen. En dat zijn ongeveer net zoveel leuke dingen als ik hierover te zeggen heb.
Hier zijn mijn kritiek. Begin september ontdekten ze de doorbraak. Veel van de getroffen klanten zijn onvermijdelijk burgers en inwoners van landen van de Europese Unie. De algemene verordening gegevensbescherming van de EU is afgelopen mei in werking getreden en de wet is van toepassing op de gegevens van die klanten, zelfs als ze in een hotel buiten Europa zouden verblijven. Volgens de AVG moeten inbreuken binnen 72 uur na ontdekking worden gemeld. De tijd die Marriott International nodig had om deze inbreuk te melden, heeft waarschijnlijk de GDPR geschonden. De tijd zal leren of de onderneming een boete krijgt of niet.
De gegevensprivacywetten elders in de wereld zijn doorgaans niet zo streng als de AVG. Ik weet dat de Canadese PIPEDA-verordening geen specifiek tijdsbestek voorschrijft voor het melden van inbreuken! Maar soms helpt de GDPR slachtoffers van datalekken die niet uit de EU komen. Als een inbreuk mensen over de hele wereld treft zoals deze Starwood-inbreuk, betekent het feit dat sommige klanten uit de EU komen, dat slachtoffers van een inbreuk wereldwijd profiteren van de druk om binnen 72 uur te melden.
Toch duurde het bijna drie maanden na de ontdekking van Marriott International om deze inbreuk te melden.
Het lijkt erop dat Marriott International de oorzaak van de inbreuk op 10 september heeft opgelost, een paar dagen na ontdekking. Maar deze inbreuk gaat helemaal terug tot 2014. Marriott zegt dat een soort beveiligingshulpmiddel hen heeft geholpen de inbreuk te ontdekken. Is die tool pas zeer recent geïmplementeerd? Miste Starwood's netwerk tot voor kort de juiste inbraakdetectieapparatuur, logging en SIEM? Die mogelijkheid stoort me.
Deze inbreuk heeft niet alleen gevolgen voor klanten die lid zijn van het Starwood Preferred Guest (SPG) -programma, maar ook voor klanten die geen SPG-lid zijn. Als u denkt dat u mogelijk het slachtoffer bent van deze inbreuk, kunt u het volgende doen.
Als u een SPG-account heeft, wijzig dan zo snel mogelijk het wachtwoord. Bekijk vervolgens uw SPG-account op verdachte activiteiten. Of u nu wel of geen SPG-klant bent, kijk naar uw creditcardafschriften als u een kaart hebt gebruikt bij een van deze Starwood-eigendommen. Als er iets niet klopt, bel dan zo snel mogelijk uw bank of de creditcardmaatschappij. Kijk of je gegevens hebt geschonden via Heb ik Pwned. Houd er rekening mee dat u mogelijk nog steeds wordt getroffen door de Marriott-inbreuk, zelfs als uw accounts niet worden vermeld in de database van de site, en de site kan uw inbreukmakende gegevens vermelden van niet-gerelateerde incidenten met betrekking tot datalekken. Bij twijfel kan het geen kwaad om al je wachtwoorden voor alles te veranderen! Zorg er misschien voor dat u een gerenommeerde wachtwoordbeheerder gebruikt, zodat u veel complexe wachtwoorden kunt gebruiken zonder ze op papier te schrijven.
Verwante bronnen
Website Malwarescanner
De post Marriott Data Breach - U checkt in en uw persoonlijke informatie uitcheckt verscheen eerst op Comodo Nieuws en informatie over internetbeveiliging.
- &
- 10
- 2016
- a
- Over
- toegang
- Volgens
- Account
- activiteit
- adres
- vergevorderd
- Afrika
- Alles
- Hoewel
- Amerika
- verscheen
- ongeveer
- rond
- Azië
- Bank
- omdat
- vaardigheden
- gelooft
- voordeel
- Betere
- tussen
- Big data
- Blok
- branded
- merken
- overtreding
- inbreuken
- Bellen
- Veroorzaken
- keten
- verandering
- Controles
- Steden
- Collectie
- combinatie van
- hoe
- Communicatie
- Bedrijven
- complex
- componenten
- betrokken
- bevat
- inhoud
- Bedrijfs-
- BEDRIJF
- Bedrijven
- landen
- Koppel
- Credits
- creditkaart
- klant
- Klanten
- gegevens
- datalek
- data Privacy
- gegevensbescherming
- gegevensbeveiliging
- Database
- databanken
- Data
- dagen
- Design
- Opsporing
- Bepalen
- systemen
- DEED
- Onthul Nu
- ontdekt
- ontdekking
- Display
- Nee
- beneden
- gedurende
- Vroeg
- effect
- encryptie
- EU
- Europa
- Nederlands
- Europeese Unie
- deskundigen
- financieel
- financiële data
- Voornaam*
- vast
- FRAME
- oppompen van
- GDPR
- Geslacht
- Algemeen
- Algemene Verordening Gegevensbescherming
- Gast
- gebeurd
- hulp
- geholpen
- helpt
- hoop
- hotel
- Hoe
- HTTPS
- Identificatie
- het identificeren van
- geïmplementeerd
- belang
- omvat
- meer
- info
- informatie
- Internationale
- Internet
- internet Security
- onderzoeken
- onderzoek
- betrokken zijn
- IT
- Houden
- blijven
- Groot
- groter
- laatste
- Wet
- Wetten
- leidend
- geleerd
- Beperkt
- Kijk
- gemaakt
- maken
- malware
- manager
- Materie
- middel
- maatregelen
- Leden
- vermeld
- Midden-Oosten
- miljoen
- miljoenen
- denken
- maanden
- meer
- meest
- netwerk
- nieuws
- aantal
- nummers
- lopend
- Overige
- Papier
- feest
- paspoort
- Wachtwoord
- wachtwoorden
- betaling
- Betaalkaart
- Mensen
- misschien
- periode
- persoonlijk
- punt
- punten
- portfolio
- mogelijkheid
- mogelijk
- bij voorkeur
- pers
- Persbericht
- druk
- privacy
- Programma
- vastgoed
- eigendom
- bescherming
- het verstrekken van
- snel
- ontvangen
- onlangs
- met betrekking tot
- Regulatie
- los
- resterende
- het verwijderen van
- verslag
- Reservering
- antwoord
- veiligheid
- verscheidene
- sinds
- website
- So
- sommige
- iets
- specifiek
- standaard
- verklaringen
- blijven
- verbleef
- Still
- Verhaal
- De
- de wet
- de wereld
- spullen
- duizenden kosten
- drie
- niet de tijd of
- tools
- toronto
- in de richting van
- steden
- typisch
- voor
- begrijpt
- unie
- .
- slachtoffers
- W
- Bekijk de introductievideo
- Wat
- of
- WIE
- binnen
- zonder
- wereld
- wereldwijd
- het schrijven van
- jaar
- Your