Czas czytania: 5 minuty
Naruszenia danych zdarzają się coraz częściej w firmach markowych i jest to z pewnością powód do niepokoju. Miliony klientów na całym świecie są zazwyczaj poszkodowane w wyniku tych incydentów, a często dochodzi do wycieku poufnych danych identyfikacyjnych i finansowych.
Teraz najnowsza historia włamań do dużych zbiorów danych dotyczy Marriott, bardzo dużej międzynarodowej sieci hoteli. Naruszone dane dotyczą osób, które co najmniej raz przebywały w obiektach Starwood Hotels and Resorts w okresie od 2014 r. (nie podano przybliżonej daty) do 10 września 2018 r. Jeśli w tym okresie nie przebywałeś w hotelu marki Marriott, istnieje wciąż powód do niepokoju. Sieć Starwood Hotels and Resorts obejmuje hotele W Hotels, St. Regis, Sheraton Hotels & Resorts, Westin Hotels & Resorts, Element Hotels, Aloft Hotels, nieruchomości The Luxury Collection, Tribute Portfolio, Le Méridien Hotels & Resorts, Four Points by Sheraton oraz designerskie hotele. Co ciekawe, chociaż komunikat prasowy informujący o naruszeniu jest pod nazwą Marriott International, dane dotyczące Marriotta nie były zaangażowane w to naruszenie, ponieważ bazy danych rezerwacji Starwood i Marriott są nadal oddzielne.
Duża liczba międzynarodowych nieruchomości i marek jest wynikiem trwających w ciągu ostatnich kilku dekad fuzji korporacyjnych. Ostatnio fuzja Marriott International i Starwood została zatwierdzona 23 września 2016 r. Wiem, że kilka z tych hoteli znajduje się w moim rodzinnym Toronto, a także w miastach i większych miastach w całej Ameryce, Europie i Azji. , Afryka, Oceania i Bliski Wschód. Łącznie istnieją tysiące nieruchomości w 130 krajach. Jeśli w ciągu ostatnich kilku lat przebywałeś w ładnym hotelu, istnieje szansa, że to naruszenie wpłynęło na Ciebie.
Marriott International zgłosił naruszenie w komunikat prasowy 30 listopada. Wyjaśnia:
„Marriott ceni naszych gości i rozumie, jak ważna jest ochrona danych osobowych. Podjęliśmy środki w celu zbadania i rozwiązania incydentu związanego z bezpieczeństwem danych w bazie danych rezerwacji gości Starwood. Dochodzenie wykazało, że doszło do nieautoryzowanego dostępu do bazy danych, która zawierała informacje o gościach dotyczące rezerwacji w obiektach Starwood w dniu 10 września 2018 r. lub wcześniej. Niniejsze powiadomienie wyjaśnia, co się stało, podjęte przez nas środki i niektóre kroki, które możesz podjąć w odpowiedzi .
8 września 2018 r. firma Marriott otrzymała powiadomienie z wewnętrznego narzędzia bezpieczeństwa dotyczące próby uzyskania dostępu do bazy danych rezerwacji gości Starwood. Marriott szybko zaangażował czołowych ekspertów ds. bezpieczeństwa, aby pomogli ustalić, co się stało. Marriott dowiedział się w trakcie dochodzenia, że od 2014 r. miał miejsce nieautoryzowany dostęp do sieci Starwood. Marriott niedawno odkrył, że nieupoważniona strona skopiowała i zaszyfrowała informacje oraz podjęła kroki w celu ich usunięcia. 19 listopada 2018 r. Marriott był w stanie odszyfrować informacje i ustalił, że zawartość pochodzi z bazy danych rezerwacji gości Starwood”.
Więc ilu klientów dotyczy naruszenie?
„Marriott nie zakończył identyfikowania zduplikowanych informacji w bazie danych, ale uważa, że zawiera ona informacje o około 500 milionach gości, którzy dokonali rezerwacji w obiekcie Starwood. W przypadku około 327 milionów tych gości informacje obejmują kombinację imienia i nazwiska, adresu pocztowego, numeru telefonu, adresu e-mail, numeru paszportu, informacji o koncie Starwood Preferred Guest („SPG”), daty urodzenia, płci, informacji o przyjeździe i wyjeździe, termin rezerwacji i preferencje komunikacyjne. Dla niektórych informacje obejmują również numery kart płatniczych i daty ważności kart płatniczych, ale numery kart płatniczych zostały zaszyfrowane przy użyciu szyfrowania Advanced Encryption Standard (AES-128). Do odszyfrowania numerów kart płatniczych potrzebne są dwa elementy i na tym etapie firma Marriott nie była w stanie wykluczyć możliwości, że oba zostały zabrane. W przypadku pozostałych gości informacje ograniczały się do imienia i nazwiska, a czasem innych danych, takich jak adres pocztowy, adres e-mail lub inne ograniczone informacje.”
Wow. Dotknęło to więc co najmniej kilkaset milionów ludzi. Mam nadzieję, że w miarę postępów w dochodzeniu po incydencie pojawią się bardziej szczegółowe dane.
Cieszę się, że firma Marriott International zgłosiła naruszenie niecałe kilka miesięcy po jego wykryciu, co jest lepsze niż to, co zrobiło wiele dużych korporacji w odpowiedzi na ich naruszenia danych. Cieszę się również, że wydają się dostarczać tyle informacji, ile są w stanie. I to tyle miłych rzeczy, ile mam do powiedzenia w tej sprawie.
Oto moja krytyka. Odkryli wyłom na początku września. Nieuchronnie wielu klientów, których to dotyczy, to obywatele i mieszkańcy krajów Unii Europejskiej. Ogólne rozporządzenie o ochronie danych UE weszło w życie w maju tego roku, a prawo ma zastosowanie do danych tych klientów, nawet jeśli przebywali w hotelu poza Europą. Zgodnie z RODO naruszenia należy zgłaszać w ciągu 72 godzin od wykrycia. Czas, w którym Marriott International zgłosił to naruszenie, prawdopodobnie naruszył RODO. Czas pokaże, czy korporacja zostanie ukarana grzywną.
Przepisy dotyczące prywatności danych w innych częściach świata zazwyczaj nie są tak surowe jak RODO. Wiem, że kanadyjskie przepisy PIPEDA nie narzucają konkretnych ram czasowych na zgłaszanie naruszeń! Czasami jednak RODO pomaga ofiarom naruszenia danych, które nie pochodzą z UE. Jeśli naruszenie dotyka ludzi na całym świecie, tak jak to ma miejsce w przypadku naruszenia Starwood, fakt, że niektórzy klienci pochodzą z UE, oznacza, że ofiary naruszeń na całym świecie korzystają z presji zgłaszania się w ciągu 72 godzin.
Mimo to Marriott International zgłosił to naruszenie prawie trzy miesiące po odkryciu.
Wygląda na to, że Marriott International naprawił przyczynę włamania 10 września, kilka dni po odkryciu. Ale to naruszenie sięga roku 2014. Marriott twierdzi, że pewnego rodzaju narzędzie bezpieczeństwa pomogło im wykryć naruszenie. Czy to narzędzie zostało niedawno wdrożone? Czy do niedawna w sieci Starwood brakowało odpowiednich urządzeń do wykrywania włamań, logowania i SIEM? Ta możliwość mnie niepokoi.
To naruszenie dotyczy nie tylko klientów, którzy są członkami programu Starwood Preferred Guest (SPG), ale także klientów, którzy nie są członkami SPG. Jeśli uważasz, że możesz być ofiarą tego naruszenia, oto, co możesz zrobić.
Jeśli masz konto SPG, jak najszybciej zmień jego hasło. Następnie obserwuj swoje konto SPG pod kątem podejrzanej aktywności. Niezależnie od tego, czy jesteś klientem SPG, czy nie, spójrz na wyciągi z karty kredytowej, jeśli użyłeś karty w którejkolwiek z tych nieruchomości Starwood. Jeśli coś wygląda nie tak, jak najszybciej zadzwoń do swojego banku lub wystawcy karty kredytowej. Sprawdź, czy naruszyłeś dane przez Zostałem Pwned. Pamiętaj tylko, że nadal możesz być dotknięty naruszeniem sieci Marriott, nawet jeśli Twoje konta nie są wymienione w bazie danych witryny, a witryna może wspomnieć o danych, które zostały naruszone w wyniku niepowiązanych incydentów naruszenia danych. W razie wątpliwości nie zaszkodzi zmienić wszystkie hasła do wszystkiego! Być może upewnij się, że korzystasz z renomowanego menedżera haseł, aby móc używać wielu złożonych haseł bez zapisywania ich na papierze.
Powiązane zasoby
Skaner złośliwego oprogramowania w witrynie
Post Naruszenie danych Marriott - odprawa i wyrejestrowanie danych osobowych pojawiła się najpierw na Wiadomości Comodo i informacje o bezpieczeństwie w Internecie.
- &
- 10
- 2016
- a
- O nas
- dostęp
- Stosownie
- Konto
- działalność
- adres
- zaawansowany
- Afryka
- Wszystkie kategorie
- Chociaż
- Americas
- pojawił się
- w przybliżeniu
- na około
- Azja
- Bank
- bo
- zanim
- uważa,
- korzyści
- Ulepsz Swój
- pomiędzy
- Big Data
- Blokować
- markowe
- marek
- naruszenie
- naruszenia
- wezwanie
- Spowodować
- łańcuch
- zmiana
- Wykrywanie urządzeń szpiegujących
- Miasta
- kolekcja
- połączenie
- jak
- Komunikacja
- Firmy
- kompleks
- składniki
- zaniepokojony
- zawiera
- treść
- Korporacyjny
- KORPORACJA
- Korporacje
- kraje
- Para
- kredyt
- Karta kredytowa
- klient
- Klientów
- dane
- naruszenie danych
- prywatność danych
- Ochrona danych
- bezpieczeństwo danych
- Baza danych
- Bazy danych
- Daty
- Dni
- Wnętrze
- Wykrywanie
- Ustalać
- urządzenia
- ZROBIŁ
- odkryj
- odkryty
- odkrycie
- Wyświetlacz
- Nie
- na dół
- podczas
- Wcześnie
- efekt
- szyfrowanie
- EU
- Europie
- europejski
- Unia Europejska
- eksperci
- budżetowy
- dane finansowe
- i terminów, a
- ustalony
- FRAME
- od
- `RODO
- Płeć
- Ogólne
- Ogólne rozporządzenie o ochronie danych
- Gość
- się
- pomoc
- pomógł
- pomaga
- nadzieję
- hotel
- W jaki sposób
- HTTPS
- Identyfikacja
- identyfikacja
- realizowane
- znaczenie
- obejmuje
- wzrastający
- Informacje
- Informacja
- na świecie
- Internet
- Internet Security
- badać
- śledztwo
- zaangażowany
- IT
- Trzymać
- Wiedzieć
- duży
- większe
- firmy
- Prawo
- Laws
- prowadzący
- dowiedziałem
- Ograniczony
- Popatrz
- zrobiony
- robić
- malware
- kierownik
- Materia
- znaczy
- środków
- Użytkownicy
- wzmiankowany
- Bliski Wschód
- milion
- miliony
- nic
- miesięcy
- jeszcze
- większość
- sieć
- aktualności
- numer
- z naszej
- trwający
- Inne
- Papier
- przyjęcie
- paszport
- Hasło
- hasła
- płatność
- Karta płatnicza
- Ludzie
- może
- okres
- osobisty
- punkt
- zwrotnica
- teczka
- możliwość
- możliwy
- Korzystny
- naciśnij
- Informacja prasowa
- nacisk
- prywatność
- Program
- niska zabudowa
- własność
- ochrona
- że
- szybko
- Odebrane
- niedawno
- w sprawie
- Regulacja
- zwolnić
- pozostały
- usuwanie
- raport
- Rezerwacja
- odpowiedź
- bezpieczeństwo
- kilka
- ponieważ
- witryna internetowa
- So
- kilka
- coś
- specyficzny
- standard
- oświadczenia
- pobyt
- został
- Nadal
- Historia
- Połączenia
- prawo
- świat
- rzeczy
- tysiące
- trzy
- czas
- narzędzie
- Toronto
- w kierunku
- miasta
- zazwyczaj
- dla
- rozumie
- unia
- posługiwać się
- Ofiary
- W
- Oglądaj
- Co
- czy
- KIM
- w ciągu
- bez
- świat
- na calym swiecie
- pisanie
- lat
- Twój