Нарушаване на данни на Marriott: Паспортите не са криптирани

Marriott днес заяви, че екипи от криминалисти и анализатори на данни са идентифицирали „приблизително 383 милиона записа като горна граница“ за общия брой загубени записи на резервации на гости. Компанията все още казва, че няма представа кой е извършил атаката и предполага, че цифрата ще намалее с времето, тъй като се идентифицират повече дублирани записи.

Това, което направи атаката на Starwood различна, беше наличието на номера на паспорти, което би могло да улесни значително разузнавателната служба за проследяване на хора, които преминават граници. Това е особено важно в случая: През декември The New York Times съобщи, че атаката е част от усилията за събиране на разузнавателна информация в Китай, които, стигайки до 2014 г., са хакнали и американски здравни застрахователи и Службата за управление на персонала, която поддържа сигурността файлове за разрешаване на милиони американци.

Засега не са известни случаи, при които при измамни транзакции да е открита информация за откраднат паспорт или кредитна карта. Но за разследващите кибератаки това е просто още един знак, че хакерството е било извършено от разузнавателни агенции, а не от престъпници. Агенциите биха искали да използват данните за свои собствени цели - изграждане на бази данни и проследяване на правителствени или промишлени цели за наблюдение - вместо да ги използват за икономическа печалба.

Взети заедно, атаката изглежда е част от по-широки усилия на китайското Министерство на държавната сигурност за съставяне на огромна база данни на американци и други с чувствителни държавни или индустриални позиции - включително къде са работили, имената на техните колеги, чуждестранни контакти и приятели , и къде пътуват.

„Големите данни са новата вълна за контраразузнаване“, каза миналия месец Джеймс А. Луис, експерт по киберсигурност, който ръководи програмата за технологична политика в Центъра за стратегически и международни изследвания във Вашингтон.

Marriott International заяви, че са откраднати по-малко клиентски записи, отколкото първоначално се е опасявал, но добави, че при кибератака през миналия месец са откраднати над 25 милиона номера на паспорти. Днес компанията заяви, че най-големият хакер на лична информация в историята не е чак толкова голям, колкото се е опасявал отначало, но за първи път признава, че хотелското звено на Starwood не е криптирало номерата на паспортите за около 5 милиона гости. Тези номера на паспорти са загубени при атака, която според много външни експерти е извършена от китайски разузнавателни агенции.

Когато атаката беше разкрита за първи път от Marriott в края на ноември, тя заяви, че може да са откраднати информация за над 500 милиона гости, всичко това от базата данни за резервации на Starwood, голяма хотелска верига, която Marriot е придобила. Но по това време компанията заяви, че цифрата е най-лошият сценарий, тъй като включва милиони дублирани записи.

Ревизираната цифра все още е най-голямата загуба в историята, по-голяма от атаката срещу Equifax, агенцията за отчитане на потребителски кредити, която загуби шофьорска книжка и номера на социално осигуряване от около 145.5 милиона американци през 2017 г., което доведе до свалянето на нейния главен изпълнителен директор и огромна загуба на доверие във фирмата.

Един висш служител на китайското министерство на държавната сигурност беше арестуван в Белгия в края на миналата година и екстрадиран в САЩ по обвинение, че играе централна роля в хакерството на американски фирми, свързани с отбраната, а други бяха идентифицирани в обвинителния акт на Министерството на правосъдието в Декември. Но тези случаи не бяха свързани с нападението на Marriott, което ФБР все още разследва.

Китай отрече да е знаел за нападението на Marriott. През декември Ген Шуанг, говорител на министерството на външните работи, каза: „Китай твърдо се противопоставя на всички форми на кибератака и предприема репресии срещу него в съответствие със закона“.

„Ако бъдат предложени доказателства, съответните китайски отдели ще извършват разследвания в съответствие със закона“, добави говорителят.

Разследването на Marriott разкри нова уязвимост в хотелските системи: Какво се случва с паспортните данни, когато клиент направи резервация или се настани в хотел, обикновено в чужбина, и предаде паспорт на служителя на бюрото. Marriott заяви за първи път, че 5.25 милиона номера на паспорти се съхраняват в системата Starwood в обикновени, некриптирани файлове с данни - което означава, че са лесно четими от всеки в системата за резервации. Допълнителни 20.3 милиона номера на паспорти се съхраняват в криптирани файлове, което ще изисква главен ключ за криптиране, за да се чете. Не е ясно колко от участващите американски паспорти и колко идват от други страни.

„Няма доказателства, че неупълномощената трета страна е осъществявала достъп до главния ключ за криптиране, необходим за декриптиране на кодираните номера на паспорти“, се казва в изявление на Marriott.

Не беше ясно веднага защо някои номера са криптирани, а други не - освен че хотелите във всяка държава, а понякога и всеки имот, имат различни протоколи за обработка на паспортната информация. Експертите от разузнаването отбелязват, че американските разузнавателни агенции често търсят номерата на паспортите на чужденци, които проследяват извън Съединените щати - което може да обясни защо правителството на САЩ не е настоявало за по-силно криптиране на паспортните данни по целия свят.

Запитан как Marriott се справя с информацията сега, след като е обединил данните на Starwood в системата за резервации на Marriott - сливане, което току-що е приключило в края на 2018 г. - Кони Ким, говорител на компанията, каза: „Проучваме способността си да се движим за универсално криптиране на номера на паспорти и ще работим с нашите доставчици на системи, за да разберем по-добре техните възможности, както и да прегледаме приложимите национални и местни разпоредби. “

Държавният департамент излезе с изявление миналия месец, казвайки на притежателите на паспорти да не се паникьосват, тъй като самият номер няма да позволи на някой да създаде фалшив паспорт. Marriott заяви, че ще плати нов паспорт за всеки, за чиято паспортна информация, хакната от техните системи, е установено, че е замесен в измама. Но това беше нещо като корпоративна хитрост, тъй като не осигуряваше покритие за гостите, които искаха нов паспорт, просто защото данните им бяха взети от чуждестранни шпиони.

Досега компанията се обърна към този проблем, като заяви, че няма доказателства за това кои са били нападателите, а САЩ официално не са обвинили Китай по случая. Но частните групи за киберразузнаване, които са разгледали нарушението, са забелязали силни паралели с другите атаки, свързани с Китай, които са в ход по това време. Президентът и главен изпълнителен директор на компанията Арне Соренсън не отговори публично на въпроси за хакерството, а Мариот заяви, че пътува и отказа искане от The Times да говори за хакерство.

Компанията също така заяви, че около 8.6 милиона кредитни и дебитни карти са били „замесени“ в инцидента, но всички те са криптирани - и всички освен 354,000 2018 карти са изтекли до септември XNUMX г., когато е било открито хакерството, продължило години наред.