Sieć hoteli Marriott International została drugim co do wielkości pechowcem w historii pod względem utraconych rekordów z bazy danych zawierającej szczegółowe informacje o klientach. W specjalnym artykule firma oświadczyła, że do wycieku doszło z bazy systemu rezerwacji Starwood (Marriott w 2016 roku kupił to amerykańskie konsorcjum hotelarskie) i jeżeli ktokolwiek może się obawiać o własne poufne dane, to tylko klienci sieci Starwood, których informacje dostały się w przestępcze ręce, ale jeżeli korzystali z systemu rezerwacji przed 8 września 2018 roku.

Ze śledztwa wynika, że nieautoryzowany dostęp do sieci Starwood uzyskano już w 2014 roku, ale dopiero niedawno ujawniono próby skopiowania danych. Na początku listopada 2018 roku ktoś próbował przejąć dane i rzeczywiście udało się to hackerom. Zdołali oni wykraść i zaszyfrować dane, ale 19 listopada zatrudnieni eksperci ds. bezpieczeństwa zdołali odszyfrować informacje i ustalili, że faktycznie dane pochodzą z systemu rezerwacji Starwood.

Tak czy inaczej, w wyniku incydentu zagrożonych ujawnieniem szczegółowych informacji jest około 327 milionów ludzi, którzy korzystali z rezerwacji w systemie Starwood przed 8 września 2018 roku. Na 327 milionów poszkodowanych osób składa się 500 milionów rekordów, które obejmują:

  • Imię i nazwisko
  • Adres pocztowy
  • Numer telefonu
  • Adres e-mail
  • Informacje o przylotach i odlotach
  • Daty rezerwacji
  • Preferencje dotyczące komunikacji
  • Nie wiadomo dokładnie ile, ale w niektórych przypadkach wyciek obejmował numery kart płatniczych oraz daty ich wygaśnięcia. Rekordy te były przechowywane w postaci szyfrowanej przez algorytm AES-128.

Istnieją dwa potrzebne elementy do odszyfrowania numerów kart płatniczych i w tej chwili Marriott nie może wykluczyć, że oba dostały się w ręce przestępców.

 – czytamy w ostrzeżeniu.

Czyje dane mogły wyciec?

Klientów sieci rezerwacji Starwood, a więc:

  • Westin
  • Sheraton
  • The Luxury Collection
  • Four Points by Sheraton
  • W Hotels
  • St. Regis
  • Le Méridien
  • Aloft
  • Element
  • Tribute Portfolio
  • Design Hotels

Hotele Marriott korzystają z własnego systemu rezerwacji. Dane ich klientów są bezpieczne — tak twierdzi Marriott International.

Marriott: drugi największy w historii wyciek danych

Firma stworzyła specjalną stronę internetową https://answers.kroll.com/ oraz FAQ, w którym podane są najważniejsze informacje. Klienci Marriotta mogą zadzwonić lub udać się do najbliższego punktu informacyjnego po dokładne szczegóły. Obywatele zamieszkujący państwa w Europie mogą kierować swoje pytania do odpowiedników naszego polskiego UODO (Urzędu Ochrony Danych Osobowych). W Polsce Urząd Ochrony Danych Osobowych znajduje się przy ul. Stawki 2 w Warszawie. Do kontaktu dostępny jest stacjonarny numer telefonu +48 22 531 03 00 oraz e-mail: [email protected]

Poszkodowani mogą liczyć na darmową roczną subskrypcję na oprogramowanie WebWatcher monitorujące Internet pod kątem wykorzystania danych.

Bardzo żałujemy, że doszło do tego incydentu. Nie sprostaliśmy własnym oczekiwaniom i zawiedliśmy naszych gości. Robimy wszystko, co w naszej mocy, aby wykorzystując zdobyte doświadczenia wesprzeć swoich klientów.

– powiedział Arne Sorenson, prezes i dyrektor generalny Marriotta.

Największe wycieki danych w historii Internetu

Firma Quartz zestawiła 20 największych wycieków danych w historii. Incydent związany z hotelami Marriott zajmuje niechlubne drugie miejsce.

Firma Ilość utraconych danych Data zhackowania
Yahoo 3 miliardy Sierpień 2013
Marriott 500 milionów 2014-2018
Yahoo 500 milionów 2014
Adult FriendFinder 412 milionów Październik 2016
MySpace 360 milionów Maj 2016
Under Armor 150 milionów Luty 2018
Equifax 145.5 milionów Lipiec 2017
eBay 145 milionów Maj 2014
Target 110 milionów Listopad 2013

Heartland Payment Systems

100 milionów Maj 2008
LinkedIn 100 milionów Czerwiec 2012
Ramlber.ru 98 milionów Luty 2012
TJX 94 miliony 2003-2004
AOL 92 miliony 2004
MyHeritage 92 miliony Październik 2017
Sony PlayStation Network 77 milionów Kwiecień 2011
JP Morgan 83 miliony Lipiec 2014
Tumblr 65 milionów Luty 2013
Uber 57 milionów 2016
Facebook 50 milionów Lipiec 2017

Jak sprawdzić wyciek swoich danych i co należy zrobić?

Wyciek własnego adresu e-mail oraz hasła z powyższych serwisów można sprawdzić na stronie: https://haveibeenpwned.com. Dodatkowo:

1. Marriott utworzył dedykowane centrum telefoniczne, aby odpowiedzieć na pytania dotyczące tego incydentu. Centrum telefoniczne jest otwarte siedem dni w tygodniu i jest dostępne w wielu językach. Numery telefonów zostały podane na tej stronie: https://answers.kroll.com Rozmowa w języku polskim nie jest obsługiwana.

2. Goście, którzy korzystali z rezerwacji Starwood, powinni otrzymać wiadomość e-mail z informacją o wycieku.

3. Osoby poszkodowane w wyniku cyberataku mogą zgłosić wyciek danych do urzędu UODO w Polsce lub jego odpowiednika w Europie. Na stronie internetowej przygotowanej przez Marriott znajdują się informacje kontaktowe do urzędów ochrony danych w każdym europejskim państwie.

4. Klienci programu lojalnościowego "Starwood Preferred Guest" powinni natychmiast zmienić hasło dostępowe do systemu, przejrzeć konta bankowe i karty płatnicze pod kątem podejrzanej aktywności. W przypadku znalezienia czegokolwiek podejrzanego należy skontaktować się z bankiem, firmą Marriott i poprosić o pomoc.

Cyberprzestępcy już na pewno wiedzą o wycieku i z pewnością będą próbowali wykorzystać incydent w atakach phishingowych. Prosimy, aby czytelnicy mieli się na baczności i dokładnie przeglądali e-maile związane z naruszeniem danych klientów sieci hoteli Marriott.

AUTOR:

Adrian Ścibor

Podziel się

Dodaj komentarz