Sieć hoteli Marriott z drugim największym wyciekiem danych w historii Internetu

7 grudnia, 2018

Sieć hoteli Marriott International została drugim co do wielkości pechowcem w historii pod względem utraconych rekordów z bazy danych zawierającej szczegółowe informacje o klientach. W specjalnym artykule firma oświadczyła, że do wycieku doszło z bazy systemu rezerwacji Starwood (Marriott w 2016 roku kupił to amerykańskie konsorcjum hotelarskie) i jeżeli ktokolwiek może się obawiać o własne poufne dane, to tylko klienci sieci Starwood, których informacje dostały się w przestępcze ręce, ale jeżeli korzystali z systemu rezerwacji przed 8 września 2018 roku.

Ze śledztwa wynika, że nieautoryzowany dostęp do sieci Starwood uzyskano już w 2014 roku, ale dopiero niedawno ujawniono próby skopiowania danych. Na początku listopada 2018 roku ktoś próbował przejąć dane i rzeczywiście udało się to hackerom. Zdołali oni wykraść i zaszyfrować dane, ale 19 listopada zatrudnieni eksperci ds. bezpieczeństwa zdołali odszyfrować informacje i ustalili, że faktycznie dane pochodzą z systemu rezerwacji Starwood.

Tak czy inaczej, w wyniku incydentu zagrożonych ujawnieniem szczegółowych informacji jest około 327 milionów ludzi, którzy korzystali z rezerwacji w systemie Starwood przed 8 września 2018 roku. Na 327 milionów poszkodowanych osób składa się 500 milionów rekordów, które obejmują:

  • Imię i nazwisko
  • Adres pocztowy
  • Numer telefonu
  • Adres e-mail
  • Informacje o przylotach i odlotach
  • Daty rezerwacji
  • Preferencje dotyczące komunikacji
  • Nie wiadomo dokładnie ile, ale w niektórych przypadkach wyciek obejmował numery kart płatniczych oraz daty ich wygaśnięcia. Rekordy te były przechowywane w postaci szyfrowanej przez algorytm AES-128.

Istnieją dwa potrzebne elementy do odszyfrowania numerów kart płatniczych i w tej chwili Marriott nie może wykluczyć, że oba dostały się w ręce przestępców.

 – czytamy w ostrzeżeniu.

Czyje dane mogły wyciec?

Klientów sieci rezerwacji Starwood, a więc:

  • Westin
  • Sheraton
  • The Luxury Collection
  • Four Points by Sheraton
  • W Hotels
  • St. Regis
  • Le Méridien
  • Aloft
  • Element
  • Tribute Portfolio
  • Design Hotels

Hotele Marriott korzystają z własnego systemu rezerwacji. Dane ich klientów są bezpieczne — tak twierdzi Marriott International.

Marriott: drugi największy w historii wyciek danych

Firma stworzyła specjalną stronę internetową https://answers.kroll.com/ oraz FAQ, w którym podane są najważniejsze informacje. Klienci Marriotta mogą zadzwonić lub udać się do najbliższego punktu informacyjnego po dokładne szczegóły. Obywatele zamieszkujący państwa w Europie mogą kierować swoje pytania do odpowiedników naszego polskiego UODO (Urzędu Ochrony Danych Osobowych). W Polsce Urząd Ochrony Danych Osobowych znajduje się przy ul. Stawki 2 w Warszawie. Do kontaktu dostępny jest stacjonarny numer telefonu +48 22 531 03 00 oraz e-mail: [email protected]

Poszkodowani mogą liczyć na darmową roczną subskrypcję na oprogramowanie WebWatcher monitorujące Internet pod kątem wykorzystania danych.

Bardzo żałujemy, że doszło do tego incydentu. Nie sprostaliśmy własnym oczekiwaniom i zawiedliśmy naszych gości. Robimy wszystko, co w naszej mocy, aby wykorzystując zdobyte doświadczenia wesprzeć swoich klientów.

– powiedział Arne Sorenson, prezes i dyrektor generalny Marriotta.

Największe wycieki danych w historii Internetu

Firma Quartz zestawiła 20 największych wycieków danych w historii. Incydent związany z hotelami Marriott zajmuje niechlubne drugie miejsce.

Firma Ilość utraconych danych Data zhackowania
Yahoo 3 miliardy Sierpień 2013
Marriott 500 milionów 2014-2018
Yahoo 500 milionów 2014
Adult FriendFinder 412 milionów Październik 2016
MySpace 360 milionów Maj 2016
Under Armor 150 milionów Luty 2018
Equifax 145.5 milionów Lipiec 2017
eBay 145 milionów Maj 2014
Target 110 milionów Listopad 2013

Heartland Payment Systems

100 milionów Maj 2008
LinkedIn 100 milionów Czerwiec 2012
Ramlber.ru 98 milionów Luty 2012
TJX 94 miliony 2003-2004
AOL 92 miliony 2004
MyHeritage 92 miliony Październik 2017
Sony PlayStation Network 77 milionów Kwiecień 2011
JP Morgan 83 miliony Lipiec 2014
Tumblr 65 milionów Luty 2013
Uber 57 milionów 2016
Facebook 50 milionów Lipiec 2017

Jak sprawdzić wyciek swoich danych i co należy zrobić?

Wyciek własnego adresu e-mail oraz hasła z powyższych serwisów można sprawdzić na stronie: https://haveibeenpwned.com. Dodatkowo:

1. Marriott utworzył dedykowane centrum telefoniczne, aby odpowiedzieć na pytania dotyczące tego incydentu. Centrum telefoniczne jest otwarte siedem dni w tygodniu i jest dostępne w wielu językach. Numery telefonów zostały podane na tej stronie: https://answers.kroll.com Rozmowa w języku polskim nie jest obsługiwana.

2. Goście, którzy korzystali z rezerwacji Starwood, powinni otrzymać wiadomość e-mail z informacją o wycieku.

3. Osoby poszkodowane w wyniku cyberataku mogą zgłosić wyciek danych do urzędu UODO w Polsce lub jego odpowiednika w Europie. Na stronie internetowej przygotowanej przez Marriott znajdują się informacje kontaktowe do urzędów ochrony danych w każdym europejskim państwie.

4. Klienci programu lojalnościowego „Starwood Preferred Guest” powinni natychmiast zmienić hasło dostępowe do systemu, przejrzeć konta bankowe i karty płatnicze pod kątem podejrzanej aktywności. W przypadku znalezienia czegokolwiek podejrzanego należy skontaktować się z bankiem, firmą Marriott i poprosić o pomoc.

Cyberprzestępcy już na pewno wiedzą o wycieku i z pewnością będą próbowali wykorzystać incydent w atakach phishingowych. Prosimy, aby czytelnicy mieli się na baczności i dokładnie przeglądali e-maile związane z naruszeniem danych klientów sieci hoteli Marriott.

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]