Нарушение данных Marriott: паспорта не зашифрованы

Marriott сегодня сообщил, что группы криминалистов и аналитиков определили «примерно 383 миллиона записей в качестве верхнего предела» для общего количества потерянных записей о бронировании гостей. Компания по-прежнему заявляет, что понятия не имеет, кто совершил атаку, и предполагает, что эта цифра со временем будет снижаться по мере выявления большего количества повторяющихся записей.

Атаку Starwood отличало наличие номеров паспортов, которые могли значительно упростить разведке отслеживание людей, пересекающих границу. Это особенно важно в данном случае: в декабре The New York Times сообщила, что атака была частью усилий Китая по сбору разведданных, которые, начиная с 2014 года, также взломали медицинские страховые компании США и Управление персонала, обеспечивающее безопасность. файлы о разрешении на миллионы американцев.

Пока не известно о случаях, когда украденные данные паспорта или кредитной карты были обнаружены при мошеннических транзакциях. Но для исследователей кибератак это еще один признак того, что взлом осуществляли спецслужбы, а не преступники. Агентства захотят использовать данные для своих собственных целей - создания баз данных и отслеживания государственных или промышленных объектов наблюдения - вместо того, чтобы использовать данные для экономической выгоды.

Взятые вместе, атака, похоже, была частью более широких усилий Министерства государственной безопасности Китая по составлению огромной базы данных об американцах и других лицах, занимающих важные должности в правительстве или отрасли, включая информацию о том, где они работали, имена их коллег, иностранных контактов и друзей. , и куда они едут.

«Большие данные - это новая волна контрразведки», - заявил в прошлом месяце Джеймс А. Льюис, эксперт по кибербезопасности, который руководит программой технологической политики в Центре стратегических и международных исследований в Вашингтоне.

Marriott International заявила, что было украдено меньше клиентских записей, чем предполагалось изначально, но добавила, что в результате кибератаки в прошлом месяце было украдено более 25 миллионов номеров паспортов. Сегодня компания заявила, что крупнейший в истории взлом личной информации был не таким масштабным, как предполагалось вначале, но впервые признала, что ее гостиничное подразделение Starwood не шифрует номера паспортов примерно для 5 миллионов гостей. Эти номера паспортов были утеряны в результате нападения, которое, по мнению многих сторонних экспертов, было совершено китайскими спецслужбами.

Когда в конце ноября Marriott впервые раскрыла атаку, в ней говорилось, что информация о более чем 500 миллионах гостей могла быть украдена, и все это из базы данных бронирования Starwood, крупной сети отелей, которую Marriot приобрела. Но в то время компания заявила, что это наихудший сценарий, потому что он включает миллионы повторяющихся записей.

Пересмотренная цифра по-прежнему является крупнейшей потерей в истории, большей, чем атака на Equifax, агентство по предоставлению потребительских кредитов, которое потеряло водительские права и номера социального страхования примерно 145.5 миллионов американцев в 2017 году, что привело к отставке его исполнительного директора. и огромная потеря доверия к фирме.

Один высокопоставленный чиновник министерства государственной безопасности Китая был арестован в Бельгии в конце прошлого года и экстрадирован в Соединенные Штаты по обвинению в том, что играл центральную роль во взломе компаний, связанных с обороной США, а другие были указаны в обвинительном заключении Министерства юстиции в Декабрь. Но эти дела не имели отношения к атаке Marriott, которую ФБР расследует до сих пор.

Китай отрицает какие-либо сведения о нападении на Marriott. В декабре Гэн Шуанг, представитель министерства иностранных дел, заявил: «Китай решительно выступает против всех форм кибератак и пресекает их в соответствии с законом».

«Если будут представлены доказательства, соответствующие китайские ведомства проведут расследования в соответствии с законом», - добавил представитель.

Расследование Marriott выявило новую уязвимость в гостиничных системах: что происходит с паспортными данными, когда клиент бронирует или регистрируется в отеле, обычно за границей, и передает паспорт клерку на стойке регистрации. Marriott впервые заявила, что 5.25 миллиона номеров паспортов хранились в системе Starwood в виде простых, незашифрованных файлов данных, что означает, что они легко читались любым человеком в системе бронирования. Еще 20.3 миллиона номеров паспортов хранились в зашифрованных файлах, для чтения которых требовался главный ключ шифрования. Неясно, сколько из фигурантов паспортов США, а сколько из других стран.

«Нет никаких доказательств того, что неавторизованная третья сторона получила доступ к главному ключу шифрования, необходимому для расшифровки зашифрованных номеров паспортов», - говорится в заявлении Marriott.

Было не сразу понятно, почему одни номера были зашифрованы, а другие нет - кроме того, что в отелях в каждой стране, а иногда и в каждой собственности, были разные протоколы для обработки паспортной информации. Эксперты по разведке отмечают, что спецслужбы США часто запрашивают номера паспортов иностранцев, которых они отслеживают за пределами Соединенных Штатов, что может объяснить, почему правительство США не настаивает на более строгом шифровании паспортных данных во всем мире.

На вопрос, как Marriott обрабатывает информацию теперь, когда он объединил данные Starwood в систему бронирования Marriott - слияние, которое было завершено в конце 2018 года, - Конни Ким, представитель компании, сказала: «Мы изучаем нашу способность переехать. к универсальному шифрованию номеров паспортов и будем работать с нашими поставщиками систем, чтобы лучше понять их возможности, а также изучать применимые национальные и местные правила ».

В прошлом месяце Госдепартамент опубликовал заявление, в котором владельцам паспортов не следует паниковать, поскольку сам по себе номер не позволит кому-либо создать поддельный паспорт. Marriott заявила, что заплатит за новый паспорт всем, чьи паспортные данные, взломанные из их систем, были признаны причастными к мошенничеству. Но это было чем-то вроде корпоративной ловкости рук, поскольку она не обеспечивала защиты для гостей, которые хотели получить новый паспорт просто потому, что их данные были украдены иностранными шпионами.

Пока компания уклонялась от решения этой проблемы, заявив, что у нее нет доказательств того, кем были нападавшие, и что Соединенные Штаты официально не обвинили Китай в этом деле. Но частные группы киберразведки, которые изучили нарушение, увидели сильные параллели с другими, связанными с Китаем атаками, происходящими в то время. Президент и главный исполнительный директор компании Арне Соренсон не ответил на вопросы о взломе публично, а Марриотт сказал, что путешествовал, и отклонил просьбу The Times поговорить о взломе.

Компания также сообщила, что в инциденте «замешаны» около 8.6 миллиона кредитных и дебетовых карт, но все они зашифрованы - и срок действия всех карт, кроме 354,000 2018, истек к сентябрю XNUMX года, когда был обнаружен взлом, который длился годами.