Kršenje podataka tvrtke Marriott: Putovnice nisu šifrirane

Marriott je danas rekao da su timovi forenzičara i analitičara podataka identificirali "približno 383 milijuna zapisa kao gornju granicu" za ukupan broj izgubljenih zapisa o rezervacijama gostiju. Tvrtka još uvijek kaže da nema pojma tko je izvršio napad i sugerirala je da će ta brojka s vremenom opadati kako se bude otkrivalo više dupliciranih zapisa.

Ono što je napad Starwooda učinilo drugačijim bila je prisutnost brojeva putovnica, što bi obavještajnoj službi moglo olakšati praćenje ljudi koji prelaze granice. To je posebno važno u ovom slučaju: U prosincu je The New York Times izvijestio da je napad bio dio kineskog napora na prikupljanju obavještajnih podataka koji je, dosežući do 2014. godine, također hakirao američke zdravstvene osiguravatelje i Ured za upravljanje osobljem koji čuva sigurnost kartoteke o milijunima Amerikanaca.

Do sada nisu poznati slučajevi u kojima su u prijevarama pronađene ukradene informacije o putovnici ili kreditnoj kartici. No, istražiteljima kibernetičkih napada to je samo još jedan znak da su hakiranje provodile obavještajne agencije, a ne kriminalci. Agencije bi željele podatke koristiti u svoje svrhe - izgradnju baza podataka i praćenje ciljeva vladinog ili industrijskog nadzora - umjesto da ih koriste za ekonomsku dobit.

Zajedno, čini se da je napad dio šireg napora kineskog Ministarstva državne sigurnosti da sastavi ogromnu bazu podataka Amerikanaca i drugih s osjetljivim vladinim ili industrijskim pozicijama - uključujući tamo gdje su radili, imena njihovih kolega, strane kontakte i prijatelje , i gdje putuju.

"Veliki podaci novi su val kontraobavještajne službe", rekao je prošlog mjeseca James A. Lewis, stručnjak za kibernetsku sigurnost koji vodi program tehnološke politike u Centru za strateške i međunarodne studije u Washingtonu.

Marriott International priopćio je kako je ukradeno manje evidencija kupaca nego što se u početku bojalo, ali je dodao da je više od 25 milijuna brojeva putovnica ukradeno u prošlomjesečnom cyber napadu. Tvrtka je danas izjavila da najveće hakiranje osobnih podataka u povijesti nije bilo baš toliko veliko kao što se prvo strahovalo, ali prvi je put priznalo da njegova hotelska jedinica Starwood nije šifrirala brojeve putovnica za otprilike 5 milijuna gostiju. Ti su brojevi putovnica izgubljeni u napadu za koji mnogi vanjski stručnjaci vjeruju da su ga izvele kineske obavještajne agencije.

Kada je Marriott krajem studenog prvi put otkrio napad, rekao je da su možda ukradene informacije o više od 500 milijuna gostiju, a sve iz baze podataka rezervacija Starwooda, velikog hotelskog lanca koji je Marriot stekao. Ali u to je vrijeme tvrtka rekla da je ta brojka najgori scenarij jer uključuje milijune duplikata zapisa.

Revidirana brojka i dalje je najveći gubitak u povijesti, veći od napada na Equifax, agenciju za izvještavanje potrošačkih kredita, koja je u 145.5. izgubila vozačku dozvolu i brojeve socijalnog osiguranja od oko 2017 milijuna Amerikanaca, što je dovelo do svrgavanja njezinog izvršnog direktora i ogroman gubitak povjerenja u firmu.

Jedan najviši dužnosnik kineskog Ministarstva državne sigurnosti uhićen je u Belgiji krajem prošle godine i izručen Sjedinjenim Državama pod optužbom da je igrao središnju ulogu u hakiranju američkih obrambenih tvrtki, a drugi su identificirani u optužnici Ministarstva pravosuđa u Prosinac. Ali ti slučajevi nisu bili povezani s napadom Marriott, koji FBI još istražuje.

Kina je porekla bilo kakvo znanje o napadu Marriott. U prosincu je Geng Shuang, glasnogovornik njezinog Ministarstva vanjskih poslova, rekao: "Kina se čvrsto protivi svim oblicima kibernetičkih napada i poduzima mjere protiv njih u skladu sa zakonom."

"Ako se ponude dokazi, nadležni kineski odjeli provest će istrage u skladu sa zakonom", dodao je glasnogovornik.

Istraga Marriott-a otkrila je novu ranjivost u hotelskim sustavima: što se događa s podacima o putovnici kada gost rezervira ili se prijavljuje u hotel, obično u inozemstvu, i preda putovnicu službenom osoblju. Marriott je prvi put rekao da se 5.25 milijuna brojeva putovnica čuvalo u sustavu Starwood u običnim, nešifriranim datotekama - što znači da ih je lako mogao pročitati bilo tko u rezervacijskom sustavu. Dodatnih 20.3 milijuna brojeva putovnica čuvalo se u šifriranim datotekama, što bi zahtijevalo glavni ključ za šifriranje. Nejasno je koliko je uključenih američkih putovnica, a koliko dolazi iz drugih zemalja.

"Nema dokaza da je neovlaštena treća strana pristupila glavnom ključu za šifriranje koji je potreban za dešifriranje šifriranih brojeva putovnica", rekao je Marriott u izjavi.

Nije bilo odmah jasno zašto su neki brojevi šifrirani, a drugi ne - osim što su hoteli u svakoj zemlji, a ponekad i u svakom posjedu, imali različite protokole za rukovanje podacima o putovnici. Obavještajni stručnjaci primjećuju da američke obavještajne agencije često traže brojeve putovnica stranaca koje prate izvan Sjedinjenih Država - što bi moglo objasniti zašto američka vlada nije inzistirala na jačoj šifriranju podataka o putovnicama širom svijeta.

Na pitanje kako je Marriott postupao s informacijama sada kada je spojio podatke Starwooda u sustav rezervacija Marriott - spajanje koje je upravo završeno krajem 2018. - Connie Kim, glasnogovornica tvrtke, rekla je: "Istražujemo svoju sposobnost kretanja na univerzalno šifriranje brojeva putovnica i radit ćemo s dobavljačima naših sustava kako bismo bolje razumjeli njihove mogućnosti, kao i na pregledu važećih nacionalnih i lokalnih propisa. "

State Department je prošlog mjeseca objavio priopćenje u kojem se govori vlasnicima putovnica da ne paniče jer sam taj broj nekome neće omogućiti stvaranje lažne putovnice. Marriott je rekao da će platiti novu putovnicu za sve one za čije su putovničke podatke, provaljene iz njihovih sustava, utvrđeno da su upleteni u prijevaru. Ali to je bilo nešto poput korporativne spretnosti, jer nije pružalo pokriće gostima koji su željeli novu putovnicu samo zato što su njihove podatke uzeli strani špijuni.

Do sada se tvrtka priklonila rješavanju tog problema rekavši kako nema dokaza o tome tko su bili napadači, a Sjedinjene Države u tom slučaju nisu formalno optužile Kinu. No, privatne cyberinligence službe koje su promatrale kršenje primijetile su snažne paralele s ostalim napadima vezanim uz Kinu u to vrijeme. Predsjednik i izvršni direktor tvrtke Arne Sorenson nije javno odgovarao na pitanja o hakiranju, a Marriott je rekao da putuje i odbio zahtjev The Timesa za razgovor o hakiranju.

Tvrtka je također rekla da je oko 8.6 milijuna kreditnih i debitnih kartica "uključeno" u incident, ali sve su šifrirane - i sve osim 354,000 kartica isteklo je do rujna 2018., kada je otkriveno hakiranje koje je trajalo godinama.