Marriott databrud: Pas ikke krypteret

Marriott sagde i dag, at teams af retsmedicinske og dataanalytikere havde identificeret "ca. 383 millioner poster som den øvre grænse" for det samlede antal tabte gæstereservationer. Virksomheden siger stadig, at det ikke har nogen idé om, hvem der udførte angrebet, og det antydede, at tallet ville falde over tid, efterhånden som flere duplikerede optegnelser identificeres.

Det, der gjorde Starwood-angrebet anderledes, var tilstedeværelsen af ​​pasnumre, som kunne gøre det langt nemmere for en efterretningstjeneste at spore folk, der krydser grænser. Det er særligt vigtigt i dette tilfælde: I december rapporterede The New York Times, at angrebet var en del af en kinesisk efterretningsindsamlingsindsats, der, der rækker tilbage til 2014, også hackede amerikanske sundhedsforsikringsselskaber og Office of Personnel Management, som holder sikkerheden. godkendelsesfiler på millioner af amerikanere.

Indtil videre er der ingen kendte tilfælde, hvor stjålne pas- eller kreditkortoplysninger blev fundet i svigagtige transaktioner. Men for efterforskere af cyberangreb er det blot endnu et tegn på, at hackingen blev udført af efterretningstjenester, ikke kriminelle. Agenturerne ønsker at bruge dataene til deres egne formål - opbygning af databaser og sporing af regerings- eller industriel overvågningsmål - i stedet for at udnytte dataene til økonomisk profit.

Samlet set så angrebet ud til at være en del af en bredere indsats fra Kinas ministerium for statssikkerhed for at sammensætte en enorm database over amerikanere og andre med følsomme regerings- eller industristillinger - inklusive hvor de arbejdede, navnene på deres kolleger, udenlandske kontakter og venner , og hvor de rejser hen.

"Big data er den nye bølge for kontraintelligence," sagde James A. Lewis, en cybersikkerhedsekspert, der driver det teknologipolitiske program ved Center for Strategic and International Studies i Washington, i sidste måned.

Marriott International sagde, at færre kunderegistre blev stjålet end oprindeligt frygtet, men tilføjede, at mere end 25 millioner pasnumre blev stjålet i sidste måneds cyberangreb. Virksomheden sagde i dag, at den største hacking af personlige oplysninger i historien ikke var helt så stor som først frygtet, men indrømmede for første gang, at dens Starwood hotelenhed ikke krypterede pasnumrene for omkring 5 millioner gæster. Disse pasnumre gik tabt i et angreb, som mange eksterne eksperter mener blev udført af kinesiske efterretningstjenester.

Da angrebet første gang blev afsløret af Marriott i slutningen af ​​november, sagde det, at oplysninger om op mod 500 millioner gæster kan være blevet stjålet, alle fra reservationsdatabasen for Starwood, en stor hotelkæde, som Marriot havde erhvervet. Men på det tidspunkt sagde virksomheden, at tallet var et worst-case scenario, fordi det inkluderede millioner af duplikerede poster.

Det reviderede tal er stadig det største tab i historien, større end angrebet på Equifax, forbrugerkreditrapporteringsbureauet, som mistede kørekortet og CPR-numrene på omkring 145.5 millioner amerikanere i 2017, hvilket førte til afsættelsen af ​​dets administrerende direktør. og et stort tab af tillid til virksomheden.

En topembedsmand i det kinesiske ministerium for statssikkerhed blev arresteret i Belgien i slutningen af ​​sidste år og udleveret til USA anklaget for at spille en central rolle i hackingen af ​​amerikanske forsvarsrelaterede firmaer, og andre blev identificeret i en anklage fra justitsministeriet i December. Men disse sager var ikke relateret til Marriott-angrebet, som FBI stadig efterforsker.

Kina har afvist ethvert kendskab til Marriott-angrebet. I december sagde Geng Shuang, en talsmand for dets udenrigsministerium, "Kina er stærkt imod alle former for cyberangreb og slår ned på det i overensstemmelse med loven."

"Hvis der tilbydes beviser, vil de relevante kinesiske afdelinger udføre undersøgelser i henhold til loven," tilføjede talsmanden.

Marriott-undersøgelsen har afsløret en ny sårbarhed i hotelsystemer: Hvad sker der med pasdata, når en kunde foretager en reservation eller tjekker ind på et hotel, normalt i udlandet, og afleverer et pas til kontorassistenten. Marriott sagde for første gang, at 5.25 millioner pasnumre blev opbevaret i Starwood-systemet i almindelige, ukrypterede datafiler - hvilket betyder, at de let blev læst af alle inde i reservationssystemet. Yderligere 20.3 millioner pasnumre blev opbevaret i krypterede filer, hvilket ville kræve en hovedkrypteringsnøgle for at kunne læse. Det er uklart, hvor mange af de involverede amerikanske pas, og hvor mange der kommer fra andre lande.

"Der er ingen beviser for, at den uautoriserede tredjepart fik adgang til hovedkrypteringsnøglen, der er nødvendig for at dekryptere de krypterede pasnumre," sagde Marriott i en erklæring.

Det var ikke umiddelbart klart, hvorfor nogle numre var krypteret, og andre ikke var - bortset fra at hoteller i hvert land, og nogle gange hver ejendom, havde forskellige protokoller til håndtering af pasoplysningerne. Efterretningseksperter bemærker, at amerikanske efterretningstjenester ofte søger pasnumrene på udlændinge, de sporer uden for USA - hvilket kan forklare, hvorfor den amerikanske regering ikke har insisteret på stærkere kryptering af pasdata på verdensplan.

På spørgsmålet om, hvordan Marriott håndterede oplysningerne nu, hvor de har fusioneret Starwoods data ind i Marriott reservationssystem - en fusion, der netop blev afsluttet i slutningen af ​​2018 - sagde Connie Kim, en talskvinde for virksomheden: "Vi undersøger vores evne til at flytte til universel kryptering af pasnumre og vil arbejde sammen med vores systemleverandører for bedre at forstå deres muligheder, samt gennemgå gældende nationale og lokale regler."

Udenrigsministeriet udsendte en erklæring i sidste måned, hvor de fortalte pasindehavere ikke at gå i panik, fordi nummeret alene ikke ville gøre det muligt for nogen at oprette et falsk pas. Marriott har sagt, at det ville betale for et nyt pas for alle, hvis pasoplysninger, hacket fra deres systemer, blev fundet at være involveret i et bedrageri. Men det var noget af en virksomheds trick, da det ikke gav nogen dækning for gæster, der ønskede et nyt pas, blot fordi deres data var blevet taget af udenlandske spioner.

Indtil videre har virksomheden undladt at tage fat på dette problem ved at sige, at det ikke har beviser for, hvem angriberne var, og USA har ikke formelt anklaget Kina i sagen. Men private cyberintelligensgrupper, der har set på bruddet, har set stærke paralleller med de andre, kinesisk-relaterede angreb, der var i gang på det tidspunkt. Selskabets præsident og administrerende direktør, Arne Sorenson, har ikke besvaret spørgsmål om hackingen offentligt, og Marriott sagde, at han var på rejse og afviste en anmodning fra The Times om at tale om hacking.

Virksomheden sagde også, at omkring 8.6 millioner kredit- og debetkort var "involveret" i hændelsen, men de er alle krypteret - og alle undtagen 354,000 kort var udløbet i september 2018, da hackingen, som varede i årevis, blev opdaget.