Okuma zamanı: 5 dakika
Veri ihlalleri, isim markalı şirketlerde artan sıklıkta meydana geliyor ve kesinlikle endişe kaynağı. Dünya çapında milyonlarca müşteri bu olaylardan tipik olarak zarar görür ve çoğu zaman hassas tanımlama ve finansal veriler sızdırılır.
Şimdi en son büyük veri ihlali hikayesi, çok büyük bir uluslararası otel zinciri olan Marriott ile ilgili. İhlal edilen veriler, 2014 (yaklaşık tarih verilmez) ile 10 Eylül 2018 arasında en az bir kez Starwood Hotels and Resorts tesislerinde kalan kişilere aittir. Bu süre zarfında Marriott markalı bir otelde kalmadıysanız, Hala endişelenmen için bir sebep. Starwood Hotels and Resorts zinciri, W Hotels, St. Regis, Sheraton Hotels & Resorts, Westin Hotels & Resorts, Element Hotels, Aloft Hotels, The Luxury Collection mülkleri, Tribute Portfolio özellikleri, Le Méridien Hotels & Resorts, Four Points by Sheraton'ı içerir. ve Tasarım Otelleri. İlginçtir ki, ihlali bildiren basın bülteni Marriott International adı altında olmasına rağmen, Marriott'a özgü veriler bu ihlale dahil edilmemiştir çünkü Starwood ve Marriott rezervasyon veritabanları hala ayrıdır.
Çok sayıda uluslararası mülk ve marka, son birkaç on yılda devam eden kurumsal birleşmelerin sonucudur. En son, Marriott International ve Starwood'un birleşmesi 23 Eylül 2016'da onaylandı. Bu otellerin birçoğunun memleketim Toronto'da olduğunu ve aynı zamanda Amerika, Avrupa ve Asya'nın her yerinde şehirlerde ve daha büyük kasabalarda olduğunu biliyorum. , Afrika, Okyanusya ve Orta Doğu. 130 ülkede toplu olarak binlerce mülk var. Son birkaç yıl içinde güzel bir otelde kaldıysanız, bu ihlalin sizi etkileme ihtimali var.
Marriott International ihlali bir basın bülteni 30 Kasım'da. Açıklıyor:
Marriott, konuklarımıza değer verir ve kişisel bilgileri korumanın önemini anlar. Starwood konuk rezervasyon veritabanını içeren bir veri güvenliği olayını araştırmak ve ele almak için önlemler aldık. Soruşturma, 10 Eylül 2018 tarihinde veya öncesinde Starwood tesislerindeki rezervasyonlarla ilgili konuk bilgilerini içeren veritabanına yetkisiz erişim olduğunu belirledi. Bu bildirim, ne olduğunu, aldığımız önlemleri ve yanıt olarak atabileceğiniz bazı adımları açıklamaktadır. .
8 Eylül 2018'de Marriott, Starwood konuk rezervasyon veritabanına erişme girişimiyle ilgili bir iç güvenlik aracından bir uyarı aldı. Marriott, ne olduğunu belirlemeye yardımcı olmak için kısa sürede önde gelen güvenlik uzmanlarıyla iletişime geçti. Marriott, soruşturma sırasında 2014'ten beri Starwood ağına yetkisiz erişim olduğunu öğrendi. Marriott, kısa süre önce yetkisiz bir tarafın bilgileri kopyalayıp şifrelediğini keşfetti ve kaldırmaya yönelik adımlar attı. 19 Kasım 2018'de Marriott, bilgilerin şifresini çözebildi ve içeriğin Starwood konuk rezervasyon veritabanından geldiğini belirledi. "
Peki bu ihlalden kaç müşteri etkilendi?
“Marriott, veri tabanındaki yinelenen bilgileri tanımlamayı bitirmedi, ancak Starwood tesislerinde rezervasyon yapan yaklaşık 500 milyon konuk hakkında bilgi içerdiğine inanıyor. Bu misafirlerin yaklaşık 327 milyonu için bilgiler, isim, posta adresi, telefon numarası, e-posta adresi, pasaport numarası, Starwood Preferred Guest ('SPG') hesap bilgileri, doğum tarihi, cinsiyet, varış ve ayrılış bilgilerinin bazı kombinasyonlarını içerir. rezervasyon tarihi ve iletişim tercihleri. Bazıları için bilgiler, ödeme kartı numaralarını ve ödeme kartı son kullanma tarihlerini de içerir, ancak ödeme kartı numaraları Gelişmiş Şifreleme Standardı şifreleme (AES-128) kullanılarak şifrelenmiştir. Ödeme kartı numaralarının şifresini çözmek için gereken iki bileşen vardır ve bu noktada Marriott, her ikisinin de alınmış olma olasılığını göz ardı edememiştir. Kalan misafirler için bilgiler isimle ve bazen posta adresi, e-posta adresi veya diğer sınırlı bilgiler gibi diğer verilerle sınırlıydı. "
Vay. Yani en az birkaç yüz milyon insan etkilendi. Olay sonrası soruşturmada ilerleme kaydedildikçe daha kesin rakamlar ortaya çıkmasını umuyorum.
Marriott International'ın ihlali keşfettikten birkaç ay sonra rapor etmesine sevindim, bu, birçok büyük şirketin yaptıklarından daha iyi. veri ihlalleri. Ellerinden geldiğince çok bilgi veriyor gibi görünmelerine de sevindim. Ve bu, bu konu hakkında söylemem gereken pek çok güzel şeyle ilgili.
İşte eleştirilerim. İhlali Eylül ayı başlarında keşfettiler. Etkilenen müşterilerin çoğu kaçınılmaz olarak Avrupa Birliği ülkelerinin vatandaşları ve sakinleridir. AB'nin Genel Veri Koruma Yönetmeliği geçtiğimiz Mayıs ayında yürürlüğe girdi ve yasa, Avrupa dışındaki bir otelde kalıyor olsalar bile bu müşterilerin verileri için geçerli. GDPR'ye göre ihlallerin keşfi takip eden 72 saat içinde bildirilmesi gerekiyor. Marriott International'ın bu ihlali bildirme süresi muhtemelen GDPR'yi ihlal ediyordu. Şirketin ceza alıp almayacağını zaman gösterecek.
Dünyanın başka yerlerindeki veri gizliliği yasaları tipik olarak GDPR kadar katı değildir. Kanada'nın PIPEDA yönetmeliğinin ihlalleri bildirmek için belirli bir zaman dilimi gerektirmediğini biliyorum! Ancak bazen GDPR, AB'den olmayan mağdurların veri ihlali yapmasına yardımcı olur. Bir ihlal, bu Starwood ihlali gibi dünyanın her yerinden insanları etkiliyorsa, bazı müşterilerin AB üyesi olması, dünya çapındaki ihlal mağdurlarının 72 saat içinde bildirimde bulunma baskısından yararlanabileceği anlamına gelir.
Yine de Marriott International bu ihlali bildirmek için keşfin üzerinden yaklaşık üç ay sürdü.
Görünüşe göre Marriott International, keşiften birkaç gün sonra, 10 Eylül'de ihlalin nedenini çözdü. Ancak bu ihlal 2014 yılına kadar uzanıyor. Marriott, bir tür güvenlik aracının ihlali keşfetmelerine yardımcı olduğunu söylüyor. Bu araç kısa süre önce uygulandı mı? Starwood'un ağında çok yakın zamana kadar uygun izinsiz giriş tespit cihazları, günlük kaydı ve SIEM yoktu? Bu olasılık beni rahatsız ediyor.
Bu ihlal sadece Starwood Preferred Guest (SPG) programı üyesi olan müşterileri değil, aynı zamanda SPG üyesi olmayan müşterileri de etkiler. Bu ihlalin kurbanı olabileceğinizi düşünüyorsanız, yapabilecekleriniz aşağıda açıklanmıştır.
Bir SPG hesabınız varsa, mümkün olan en kısa sürede şifresini değiştirin. Ardından şüpheli etkinlik için SPG hesabınızı izleyin. SPG müşterisi olsanız da olmasanız da, bu Starwood mülklerinden herhangi birinde bir kart kullandıysanız, kredi kartı ekstrelerinize bakın. Bir sorun çıkarsa, bankanızı veya kredi kartı düzenleyicisini en kısa sürede arayın. Verileri şu yolla ihlal edip etmediğinizi görün: Ben Pwned Var mı. Hesaplarınız sitenin veritabanında belirtilmese bile Marriott ihlalinden etkilenebileceğinizi ve sitenin ilgisiz veri ihlali olaylarından kaynaklanan ihlal verilerinizden bahsedebileceğini unutmayın. Şüphe duyduğunuzda, her şey için tüm şifrelerinizi değiştirmek zarar vermez! Belki de saygın bir şifre yöneticisi kullandığınızdan emin olun, böylece çok sayıda karmaşık şifreyi hiçbirini kağıda yazmadan kullanabilirsiniz.
alakalı kaynaklar
Web Sitesi Kötü Amaçlı Yazılım Tarayıcı
Sonrası Marriott Veri İhlali - Giriş Yaptınız ve Kişisel Bilgileriniz Kontrol Ediliyor İlk çıktı Comodo Haberleri ve İnternet Güvenliği Bilgileri.
- &
- 10
- 2016
- a
- Hakkımızda
- erişim
- Göre
- Hesap
- etkinlik
- adres
- ileri
- Afrika
- Türkiye
- Rağmen
- Amerika
- çıktı
- yaklaşık olarak
- etrafında
- Asya
- Banka
- Çünkü
- önce
- inanıyor
- yarar
- Daha iyi
- arasında
- büyük Veri
- Engellemek
- markalı
- markalar
- ihlal
- ihlalleri
- çağrı
- Sebeb olmak
- zincir
- değişiklik
- Çekler
- Şehirler
- Toplamak
- kombinasyon
- nasıl
- Yakın İletişim
- Şirketler
- karmaşık
- bileşenler
- ilgili
- içeren
- içindekiler
- Kurumsal
- KURUMSAL
- Kurumlar
- ülkeler
- Çift
- kredi
- kredi kartı
- müşteri
- Müşteriler
- veri
- veri ihlali
- veri gizliliği
- veri koruma
- veri güvenliği
- veritabanı
- veritabanları
- Tarih
- Günler
- Dizayn
- Bulma
- Belirlemek
- Cihaz
- DID
- keşfetmek
- keşfetti
- keşif
- ekran
- Değil
- aşağı
- sırasında
- Erken
- Efekt
- E-posta
- şifreleme
- EU
- AVRUPA
- Avrupa
- Avrupa Birliği
- uzmanlara göre
- mali
- finansal Veri
- Ad
- sabit
- ÇERÇEVE
- itibaren
- KVKK
- Cinsiyet
- genel
- Genel Veri Koruma Yönetmeliği
- Konuk
- olmuş
- yardım et
- yardım
- yardımcı olur
- umut
- otel
- Ne kadar
- HTTPS
- Kimlik
- belirlenmesi
- uygulanan
- önem
- içerir
- artan
- bilgi
- bilgi
- Uluslararası
- Internet
- Internet Security
- araştırmak
- soruşturma
- ilgili
- IT
- tutmak
- Bilmek
- büyük
- büyük
- son
- Kanun
- Yasalar
- önemli
- öğrendim
- Sınırlı
- Bakın
- yapılmış
- yapmak
- kötü amaçlı yazılım
- müdür
- Mesele
- anlamına geliyor
- önlemler
- Üyeler
- adı geçen
- Orta Doğu
- milyon
- milyonlarca
- akla
- ay
- Daha
- çoğu
- ağ
- haber
- numara
- sayılar
- devam
- Diğer
- kâğıt
- Parti
- pasaport
- Şifre
- şifreleri
- ödeme
- Ödeme kartı
- İnsanlar
- belki
- dönem
- kişisel
- Nokta
- noktaları
- portföy
- olasılık
- mümkün
- tercihli
- basın
- Basın bülteni
- basınç
- gizlilik
- Programı
- özellikleri
- özellik
- koruma
- sağlama
- hızla
- Alınan
- geçenlerde
- ilişkin
- Değişiklik Yapıldı
- serbest
- kalan
- kaldırma
- rapor
- Rezervasyon
- yanıt
- güvenlik
- birkaç
- beri
- yer
- So
- biraz
- bir şey
- özel
- standart
- ifadeleri
- kalmak
- kaldı
- Yine
- Öykü
- The
- kanun
- Dünya
- işler
- Binlerce
- üç
- zaman
- araç
- toronto
- karşı
- kasabalar
- tipik
- altında
- anlar
- sendikasının
- kullanım
- kurbanlar
- W
- İzle
- Ne
- olup olmadığını
- DSÖ
- içinde
- olmadan
- Dünya
- Dünya çapında
- yazı yazıyor
- yıl