Lesetid: 5 minutter
Databrudd forekommer med økende frekvens hos firmaer med merkevarer, og det er absolutt grunn til bekymring. Millioner av kunder over hele verden blir vanligvis skadet av disse hendelsene, og ofte lekker sensitiv identifikasjon og økonomiske data.
Nå handler den siste bruddhistorien om Marriott, en veldig stor internasjonal hotellkjede. Dataene som er brutt, gjelder personer som har bodd på Starwood Hotels and Resorts eiendommer minst en gang mellom 2014 (ingen omtrentlig dato er oppgitt) og 10. september 2018. Hvis du ikke bodde på et hotell med Marriott-merke i løpet av denne tidsperioden, er det fortsatt grunn til at du er bekymret. Starwood Hotels and Resorts-kjeden inkluderer W Hotels, St. Regis, Sheraton Hotels & Resorts, Westin Hotels & Resorts, Element Hotels, Aloft Hotels, The Luxury Collection Properties, Tribute Portfolio Properties, Le Méridien Hotels & Resorts, Four Points by Sheraton , og designhoteller. Interessant nok, selv om pressemeldingen som rapporterte bruddet er under navnet Marriott International, var ikke Marriott-spesifikke data involvert i dette bruddet fordi reservasjonsdatabasene Starwood og Marriott fortsatt er separate.
Det store antallet internasjonale eiendommer og merkevarer er resultatet av pågående selskapssammenslåing de siste tiårene. Sist ble sammenslåingen av Marriott International og Starwood godkjent 23. september 2016. Jeg vet at flere av disse hotellene er i hjembyen min Toronto, og de er også i byer og større byer over hele Amerika, Europa, Asia , Afrika, Oseania og Midtøsten. Det er samlet tusenvis av eiendommer i 130 land. Hvis du bodde på et hyggelig hotell de siste årene, er det en sjanse for at dette bruddet har påvirket deg.
Marriott International rapporterte bruddet i en pressemelding 30. november. Det forklarer:
“Marriott verdsetter våre gjester og forstår viktigheten av å beskytte personlig informasjon. Vi har truffet tiltak for å undersøke og adressere en datasikkerhetshendelse som involverer Starwood-reservasjonsdatabasen. Undersøkelsen har fastslått at det var uautorisert tilgang til databasen, som inneholdt gjesteinformasjon knyttet til reservasjoner på Starwood eiendommer 10. september 2018 eller før. Denne meldingen forklarer hva som skjedde, tiltak vi har tatt og noen trinn du kan ta som svar .
8. september 2018 mottok Marriott et varsel fra et internt sikkerhetsverktøy angående et forsøk på å få tilgang til Starwood-reservasjonsdatabasen. Marriott engasjerte raskt ledende sikkerhetseksperter for å avgjøre hva som skjedde. Marriott fikk vite under etterforskningen at det hadde vært uautorisert tilgang til Starwood-nettverket siden 2014. Marriott oppdaget nylig at en uautorisert part hadde kopiert og kryptert informasjon, og tok skritt mot å fjerne den. 19. november 2018 klarte Marriott å dekryptere informasjonen og bestemte at innholdet var fra Starwood-reservasjonsdatabasen. ”
Så hvor mange kunder blir berørt av bruddet?
“Marriott er ikke ferdig med å identifisere duplikatinformasjon i databasen, men mener den inneholder informasjon om opptil 500 millioner gjester som har booket et Starwood-hotell. For omtrent 327 millioner av disse gjestene inkluderer informasjonen en kombinasjon av navn, postadresse, telefonnummer, e-postadresse, passnummer, Starwood Preferred Guest ('SPG') kontoinformasjon, fødselsdato, kjønn, ankomst- og avreiseinformasjon, reservasjonsdato og kommunikasjonspreferanser. For noen inkluderer informasjonen også betalingskortnumre og utløpsdatoer for betalingskort, men betalingskortnumrene ble kryptert ved hjelp av Advanced Encryption Standard-kryptering (AES-128). Det er to komponenter som trengs for å dekryptere betalingskortnumrene, og på dette tidspunktet har Marriott ikke klart å utelukke muligheten for at begge ble tatt. For de gjenværende gjestene var informasjonen begrenset til navn og noen ganger andre data som postadresse, e-postadresse eller annen begrenset informasjon. ”
Wow. Så minst noen hundre millioner mennesker ble berørt. Jeg håper mer spesifikke tall kommer ut etter hvert som det gjøres fremskritt i etterforskningen etter hendelsen.
Jeg er glad for at Marriott International rapporterte bruddet mindre enn noen få måneder etter at de oppdaget det, det er bedre enn det mange store selskaper har gjort som svar på deres datainnbrudd. Jeg er også glad for at de ser ut til å gi så mye informasjon som de kan. Og det handler om like mange fine ting som jeg har å si om denne saken.
Her er kritikken min. De oppdaget bruddet i begynnelsen av september. Uunngåelig er mange av de berørte kundene borgere og innbyggere i EU-landene. EUs generelle databeskyttelsesforordning trådte i kraft i mai i fjor, og loven gjelder dataene til disse kundene, selv om de bodde på et hotell utenfor Europa. I henhold til GDPR skal brudd rapporteres innen 72 timer etter oppdagelsen. Den tiden Marriott International tok for å rapportere dette bruddet, brøt sannsynligvis GDPR. Tiden vil vise om selskapet blir bøtelagt eller ikke.
Personvernlovene andre steder i verden er vanligvis ikke så strenge som GDPR. Jeg vet at Canadas PIPEDA-regulering ikke foreskriver en spesifikk tidsramme for rapportering av brudd! Men noen ganger hjelper GDPR databrudd på ofre som ikke er fra EU. Hvis et brudd rammer mennesker over hele verden slik dette Starwood-bruddet gjør, betyr det faktum at noen av kundene er fra EU at bruddofre over hele verden drar fordel av presset til å rapportere innen 72 timer.
Likevel tok Marriott International nesten tre måneder etter oppdagelsen å rapportere dette bruddet.
Det virker som Marriott International løste årsaken til bruddet 10. september, et par dager etter oppdagelsen. Men dette bruddet går helt tilbake til 2014. Marriott sier at et sikkerhetsverktøy av noe slag hjalp dem med å oppdage bruddet. Ble det verktøyet nylig implementert? Manglet Starwoods nettverk riktig inntrengingsdeteksjonsenheter, loggføring og SIEM til veldig nylig? Den muligheten plager meg.
Dette bruddet berører ikke bare kunder som er Starwood Preferred Guest (SPG) -programmedlemmer, men også kunder som ikke er SPG-medlemmer. Hvis du tror du kan være et offer for dette bruddet, her er hva du kan gjøre.
Hvis du har en SPG-konto, kan du endre passordet så snart du kan. Så se på SPG-kontoen din for mistenkelig aktivitet. Uansett om du er SPG-kunde eller ikke, se på kredittkortoppgavene dine hvis du brukte et kort på noen av disse Starwood-eiendommene. Hvis noe ser galt ut, ring banken din eller kredittkortutstederen så snart som mulig. Se om du har brutt data via Har jeg blitt pwned. Bare husk at du fremdeles kan bli berørt av Marriott-bruddet, selv om kontoene dine ikke er nevnt i nettstedets database, og nettstedet kan nevne dine brutt data fra ikke-relaterte datainnbruddhendelser. Når du er i tvil, skader det ikke å endre alle passordene dine for alt! Sørg kanskje for å bruke en hederlig passordbehandling slik at du kan bruke mange komplekse passord uten å skrive noen av dem på papir.
Relaterte ressurser
Nettstedet skadelig programvare
START GRATIS PRØVEPERIODE FÅ DIN KJENTE SIKKERHETSSCORECARD GRATIS
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://blog.comodo.com/cybersecurity/marriott-data-breach/
- : har
- :er
- :ikke
- $OPP
- 10
- 10.
- 130
- 19
- 2014
- 2016
- 2018
- 23
- 30.
- 321
- 455
- 500
- 7
- 72
- 8
- a
- I stand
- Om oss
- adgang
- Ifølge
- Logg inn
- kontoer
- aktivitet
- adresse
- avansert
- påvirkes
- afrika
- Etter
- Varsle
- Alle
- også
- Selv
- Americas
- an
- og
- noen
- gjelder
- godkjent
- tilnærmet
- ca
- ER
- rundt
- ankomst
- AS
- asia
- At
- forsøk
- tilbake
- Bank
- BE
- fordi
- vært
- før du
- mener
- nytte
- Bedre
- mellom
- Stor
- Store data
- fødsel
- Blogg
- både
- branded
- merker
- brudd
- brudd
- men
- by
- ring
- kom
- CAN
- kort
- Årsak
- Gjerne
- kjede
- sjanse
- endring
- Byer
- Borgere
- klikk
- samling
- samlet sett
- kombinasjon
- Kom
- Kommunikasjon
- Selskaper
- komplekse
- komponenter
- Bekymring
- bekymret
- inneholdt
- inneholder
- innhold
- Bedriftens
- SELSKAP
- Corporations
- land
- Par
- kreditt
- kredittkort
- kritikk
- kunde
- Kunder
- dato
- datainnbrudd
- personvern
- databeskyttelse
- datasikkerhet
- Database
- databaser
- Dato
- datoer
- Dager
- tiår
- dekryptere
- avgang
- utforming
- Gjenkjenning
- Bestem
- bestemmes
- Enheter
- gJORDE
- oppdage
- oppdaget
- Funnet
- do
- gjør
- ikke
- gjort
- tviler
- ned
- under
- Tidlig
- øst
- effekt
- element
- andre steder
- emalje
- kryptert
- kryptering
- engasjert
- nok
- EU
- Europa
- europeisk
- Den Europeiske Union
- Selv
- Event
- eksperter
- utløp
- forklarer
- Faktisk
- Noen få
- finansiell
- Økonomiske data
- bøtelagt
- fikset
- Til
- fire
- RAMME
- Gratis
- Frekvens
- fra
- GDPR
- Kjønn
- general
- generell data
- Generell databeskyttelsesforskrift
- få
- blir
- gitt
- Går
- Gjest
- gjester
- HAD
- skjedde
- Ha
- hjelpe
- hjulpet
- hjelper
- håp
- hotell
- hoteller
- TIMER
- Hvordan
- HTTPS
- hundre
- Hurt
- i
- Identifikasjon
- identifisering
- if
- påvirket
- implementert
- betydning
- in
- hendelse
- inkluderer
- økende
- uunngåelig
- informasjon
- instant
- intern
- internasjonalt
- inn
- undersøke
- etterforskning
- involvert
- involverer
- utsteder
- IT
- DET ER
- bare
- Hold
- Vet
- maling
- stor
- større
- siste
- Law
- Lover
- ledende
- lært
- minst
- mindre
- i likhet med
- Begrenset
- logging
- Se
- UTSEENDE
- masse
- Luksus
- laget
- mailing
- gjøre
- malware
- leder
- Mandat
- mange
- Saken
- max bredde
- Kan..
- me
- midler
- målinger
- medlemmer
- nevner
- nevnt
- fusjon
- fusjoner
- Middle
- Midtøsten
- millioner
- millioner
- tankene
- måneder
- mer
- mest
- mye
- må
- my
- navn
- nesten
- nødvendig
- nettverk
- fint
- Nei.
- Legge merke til..
- November
- nt
- Antall
- tall
- forekom
- forekommende
- of
- ofte
- on
- gang
- pågående
- bare
- or
- Annen
- vår
- ut
- utenfor
- enn
- Papir
- parti
- pass
- Passord
- Password Manager
- passord
- Past
- betaling
- Betalingskort
- Ansatte
- kanskje
- perioden
- personlig
- telefon
- plato
- Platon Data Intelligence
- PlatonData
- Point
- poeng
- portefølje
- mulighet
- mulig
- muligens
- preferanser
- trekkes
- trykk
- Pressemelding
- press
- privatliv
- sannsynligvis
- program
- Progress
- ordentlig
- egenskaper
- eiendom
- beskytte
- beskyttelse
- gi
- raskt
- grunnen til
- mottatt
- nylig
- om
- Regulering
- slipp
- gjenværende
- fjerne
- rapporterer
- rapportert
- Rapportering
- hederlig
- Booking
- innbyggere
- Resorts
- svar
- resultere
- Regel
- sier
- sier
- poengkort
- sikkerhet
- se
- synes
- synes
- send
- sensitive
- separat
- September
- flere
- siden
- nettstedet
- So
- noen
- noe
- noen ganger
- snart
- spesifikk
- Standard
- uttalelser
- opphold
- oppholdt seg
- blir
- Steps
- Still
- Story
- Streng
- slik
- sikker
- mistenkelig
- Ta
- tatt
- fortelle
- enn
- Det
- De
- informasjonen
- loven
- verden
- deres
- Dem
- deretter
- Der.
- Disse
- de
- ting
- tror
- denne
- De
- tusener
- tre
- tid
- til
- tok
- verktøy
- toronto
- mot
- byene
- bidra
- to
- typisk
- uautorisert
- etter
- forstår
- union
- til
- bruke
- brukt
- ved hjelp av
- Verdier
- veldig
- av
- Offer
- ofre
- krenket
- W
- var
- Se
- Vei..
- we
- var
- westin
- Hva
- når
- om
- hvilken
- HVEM
- vil
- med
- innenfor
- uten
- verden
- verdensomspennende
- skriving
- år
- Du
- Din
- zephyrnet