Marriott Dateverletzung: Päss net verschlësselte

Marriott huet haut gesot datt Teams vu forenseschen an Datenanalytiker "ongeféier 383 Millioune Rekorder als iewescht Limit" identifizéiert hunn fir d'total Zuel vu Gäschtreservatiounen verluer. D'Firma seet nach ëmmer datt et keng Ahnung huet wien d'Attack duerchgefouert huet, an et huet virgeschloen datt d'Figur mat der Zäit géif erofgoen wéi méi duplizéiert records identifizéiert ginn.

Wat d'Starwood Attack anescht gemaach huet, war d'Präsenz vu Passnummeren, wat et fir e Geheimdéngscht vill méi einfach ka maachen fir Leit ze verfolgen déi Grenzen iwwerschreiden. Dat ass besonnesch wichteg an dësem Fall: Am Dezember huet d'New York Times gemellt datt d'Attack Deel vun engem chinesesche Intelligenz-Sammelen Effort war, deen, zréck op 2014, och US Gesondheetsversécherer an den Office of Personal Management gehackt huet, deen d'Sécherheet hält. Clearance Dateien op Millioune Amerikaner.

Bis elo sinn et keng Fäll bekannt, wou geklaut Pass- oder Kreditkaartinformatioune bei betrügereschen Transaktiounen fonnt goufen. Awer fir Cyberattack Enquêteuren, dat ass just en anert Zeechen datt den Hacking vun Intelligenz Agenturen gemaach gouf, net Krimineller. D'Agencen wëllen d'Donnéeën fir hir eegen Zwecker benotzen - Datenbanken bauen an d'Regierungs- oder Industrie Iwwerwaachungsziler verfollegen - anstatt d'Donnéeën fir wirtschaftleche Gewënn auszenotzen.

Zesummegefaasst schéngt d'Attack Deel vun engem méi breeden Effort vum China's Ministère fir Staatssécherheet ze sinn fir eng rieseg Datebank vun Amerikaner an anerer mat sensiblen Regierungs- oder Industriepositiounen ze kompiléieren - och wou se geschafft hunn, d'Nimm vun hire Kollegen, auslännesche Kontakter a Frënn , a wou se reesen.

"Big Data sinn déi nei Welle fir Konterintelligenz", sot de leschte Mount, den James A. Lewis, e Cybersecurity Expert, deen den Technologiepolitikprogramm am Center for Strategic and International Studies zu Washington leeft.

Marriott International sot, datt manner Cliente records geklaut goufen wéi ufanks gefaart, awer bäigefüügt datt méi wéi 25 Millioune Passnummeren am leschte Mount Cyberattack geklaut goufen. D'Firma sot haut datt de gréissten Hacking vu perséinlechen Informatioun an der Geschicht net sou grouss war wéi fir d'éischt gefaart, awer fir d'éischte Kéier zouginn datt seng Starwood Hotel Eenheet d'Passnummere fir ongeféier 5 Millioune Gäscht net verschlësselt huet. Dës Passnummere goufen an engem Attack verluer, dee vill extern Experten gleewen, vun chinesesche Geheimdéngschtagenturen duerchgefouert gouf.

Wéi d'Attack fir d'éischt Enn November vum Marriott opgedeckt gouf, huet et gesot datt Informatioun iwwer méi wéi 500 Millioune Gäscht geklaut kënne ginn, alles aus der Reservatiounsdatebank vu Starwood, enger grousser Hotelkette déi Marriot kaaft huet. Awer zu där Zäit huet d'Firma gesot datt d'Figur e schlëmmste Fall Szenario war well et Millioune vun Duplikat records enthält.

Déi iwwerschafft Figur ass ëmmer nach de gréisste Verloscht an der Geschicht, méi grouss wéi den Attack op Equifax, d'Konsumentenkreditberichterstattung, déi de Führerschäin an d'Sozialversécherungsnummere vu ronn 145.5 Milliounen Amerikaner am Joer 2017 verluer hunn, wat zu der Ausféierung vu sengem Chef exekutiv gefouert huet. an e grousse Verloscht vu Vertrauen an d'Firma.

Een Top Beamten vum chinesesche Staatssécherheetsministère gouf Enn d'lescht Joer an der Belsch festgeholl an un d'USA ausgeliwwert wéinst Uklo fir eng zentral Roll am Hacking vun US Verteidegungsrelatéierte Firmen ze spillen, an anerer goufen an engem Justizdepartement ugeklot. Dezember. Awer dës Fäll waren net am Zesummenhang mat der Marriott Attack, déi den FBI nach ëmmer ënnersicht.

China huet all Wësse vun der Marriott Attack ofgeleent. Am Dezember huet de Geng Shuang, e Spriecher fir säin Ausseministère, gesot: "China ass fest géint all Form vu Cyberattacken a setzt se am Aklang mam Gesetz of."

"Wann Beweiser ugebuede ginn, wäerten déi zoustänneg chinesesch Departementer Ermëttlungen no dem Gesetz ausféieren", huet de Spriecher bäigefüügt.

D'Marriott-Untersuchung huet eng nei Schwachstelle an Hotelsystemer opgedeckt: Wat geschitt mat Passdaten wann e Client eng Reservatioun mécht oder an en Hotel kontrolléiert, normalerweis am Ausland, an e Pass un de Schreifweis iwwerginn. Marriott sot fir d'éischte Kéier datt 5.25 Millioune Passnummeren am Starwood System an einfachen, onverschlësselte Datedateien gehale goufen - dat heescht datt se einfach vu jidderengem am Reservatiounssystem gelies goufen. Eng zousätzlech 20.3 Millioune Passnummere goufen a verschlësselte Fichier gehal, déi e Master-Verschlësselungsschlëssel erfuerderen fir ze liesen. Et ass onkloer wéivill vun deenen involvéierten US Päss a wéivill aus anere Länner kommen.

"Et gëtt kee Beweis datt déi onerlaabt Drëtt Partei Zougang zum Master Verschlësselungsschlëssel huet fir déi verschlësselte Passnummeren ze entschlësselen", sot Marriott an enger Ausso.

Et war net direkt kloer firwat e puer Zuelen verschlësselte waren an anerer net - anescht wéi datt Hoteler an all Land, an heiansdo all Immobilie, verschidde Protokoller haten fir d'Passinformatioun ze handhaben. Intelligenz Experten bemierken datt d'US Intelligenz Agenturen dacks d'Passnummere vun den Auslänner sichen, déi se ausserhalb vun den USA verfollegen - wat erkläre kann firwat d'US Regierung net op eng méi staark Verschlësselung vu Passdaten weltwäit insistéiert huet.

Op d'Fro wéi de Marriott d'Informatioun behandelt elo datt et dem Starwood seng Donnéeën an de Marriott Reservatiounssystem fusionéiert huet - eng Fusioun déi just Enn 2018 fäerdeg war - sot Connie Kim, eng Firma Spriecherin: "Mir kucken eis Fäegkeet ze plënneren. fir eng universell Verschlësselung vu Passnummeren a wäerte mat eise Systemverkeefer schaffe fir hir Fäegkeeten besser ze verstoen, wéi och applicabel national a lokal Reglementer ze iwwerpréiwen.

De Staatsdepartement huet de leschte Mount eng Erklärung erausginn, déi de Passhalter seet net ze panikéieren, well d'Zuel eleng net et erlaabt datt een e falsche Pass erstellt. Marriott huet gesot datt et fir en neie Pass géif bezuelen fir jiddereen deem seng Passinformatioun, gehackt aus hire Systemer, an engem Bedruch involvéiert gouf. Awer dat war eppes vun engem juristesche Schlag, well et keng Ofdeckung ubitt fir Gäscht déi en neie Pass wollten einfach well hir Donnéeën vun auslännesche Spioun geholl goufen.

Bis elo huet d'Firma sech mat dësem Thema geäntwert andeems se gesot hunn datt et keng Beweiser huet iwwer wien d'Ugräifer waren, an d'USA hunn China net formell am Fall beschëllegt. Awer privat Cyberintelligenzgruppen, déi de Verstouss gekuckt hunn, hu staark Parallelen mat deenen aneren, Chinesesch-relatéierten Attacke gesinn, déi zu där Zäit amgaang waren. De President vun der Firma a Chef exekutiv, Arne Sorenson, huet keng Froen iwwer den Hacking an der Ëffentlechkeet geäntwert, an de Marriott sot datt hie reest an huet eng Demande vun The Times refuséiert fir iwwer Hacking ze schwätzen.

D'Firma sot och datt ongeféier 8.6 Millioune Kreditt- a Bankkaarten am Tëschefall "involvéiert" waren, awer déi sinn all verschlësselte - an all ausser 354,000 Kaarte ware bis September 2018 ofgelaaf, wéi den Hacking, dee jorelaang gedauert huet, entdeckt gouf.