Hackeada por 4 anos, rede Marriott compromete dados de 500Mi de clientes

Hackeada por 4 anos, rede Marriott compromete dados de 500Mi de clientes. A rede de hotéis Marriott anunciou que foi vítima de um ataque hacker que expôs dados de 500 milhões de hóspedes de suas marcas de hotéis, incluindo W, Sheraton e Westin. A rede afirma que já “tomou as medidas para investigar e lidar com o incidente de segurança dos dados”.

Hackers mal-intencionados passaram mais de quatro anos no sistema de reservas Marriott da Starwood, obtendo acesso a 500 milhões de registros de hóspedes, que incluíam nomes, informações sobre cartões de pagamento e outras informação de identificação pessoal, informou a rede de hotéis Marriott nesta sexta dia 30 de novembro.

O Marriott reportou o incidente às autoridades e continua a auxiliar nas investigações”, diz a empresa. Arne Sorenson, CEO e presidente do Marriott, afirmou estar “profundamente arrependido por esse incidente ter acontecido”.

Os cibercriminosos obtiveram acesso, copiaram e criptografaram uma grande variedade de dados dos hóspedes usando seu sistema de reservas, disse a empresa. A equipe de TI da Marriott descobriu a violação somente em 8 de setembro de 2018, quando os cibercriminosos tentaram remover dados do sistema dos EUA. Este evento levou a uma investigação adicional que revelou que a operação de longa duração que estava em vigor desde 2014.

A falha de segurança afetou clientes que se hospedaram nos hotéis: W Hotels, St. Regis, Sheraton Hotels & Resorts, Westin Hotels & Resorts, Element Hotels, Aloft Hotels, The Luxury Collection, Tribute Portfolio, Le Méridien Hotels & Resort, Four Points by Sheraton e Design Hotels.

A Marriott adquiriu a Starwood Hotels por US$13 Bilhões em 2016, mas o evento indica que que o malware já estava em vigor e ainda não foi descoberto antes do fechamento do negócio.

Este é mais um exemplo do motivo pelo qual é crítico que as empresas executem due diligence cibernética antes de uma aquisição ou investimento. Entender a postura de segurança cibernética de um investimento é fundamental para avaliar o valor do investimento e considerar danos à reputação, financeiros e legais que possam afetar a empresa. Depois que um investimento foi feito, o monitoramento contínuo é essencial ”, disse Jake Olcott, vice-presidente de parcerias estratégicas da BitSight ao SC Magazine.

Não foi a primeira vez que a Starwood sofreu violação de dados, em 2015 a rede de hotéis foi infectada com malware de POS afetando 1.275 propriedades nos EUA e no Canadá.

A violação do Marriott é uma das maiores do ano, superando os 445 milhões de usuários afetados da Veam e os 130 milhões de usuários do Huazhu Hotels. Até rivaliza com o enorme incidente do Yahoo 2016 que expôs 1 bilhão de usuários.

A investigação inicial revelou que os cibercriminosos haviam duplicado e criptografado o banco de dados. Em 19 de novembro, a equipe de segurança da Marriott, trabalhando com consultores externos, havia descriptografado parcialmente parte suficiente do arquivo para determinar a extensão do dano.

Segundo a empresa, as informações de 500 milhões de clientes foram acessadas. Desse total, um número não divulgado teve os dados de cartão de crédito roubados. De acordo com o Marriott, os dados de cartão de crédito estavam criptografados  usando criptografia Advanced Encryption Standard (AES-128), mas acreditam que é possível que os agentes maliciosos conseguissem obter os dois componentes necessários para uma decriptografia completa.

Para 327 milhões de pessoas, as informações comprometidas incluíam uma combinação de nome, endereço postal, número de telefone, endereço de e-mail, número do passaporte, informações da conta Starwood Preferred Guest (SPG), data de nascimento, sexo, informações de chegada e partida, data da reserva. e preferências de comunicação, disse a empresa.

Os demais registros violados continham dados do passaporte, nomes e possivelmente endereços de correspondência e e-mail.

Lamentamos profundamente que este incidente tenha acontecido“, disse Arne Sorenson, presidente e CEO da Marriott. “Ficamos aquém do que nossos hóspedes merecem e do que esperamos de nós mesmos. Estamos fazendo tudo o que podemos para apoiar nossos hóspedes e usando as lições aprendidas para avançarmos melhor ”.

Embora a Marriott tenha informado que o malware residia em seu sistema de reservas baseado nos EUA, se algum convidado da UE tiver sido envolvido, a empresa poderá ser objeto de multas devido a GDPR . “Com mais de dois meses entre o tempo de detecção inicial em 8 de setembro de 2018 e a divulgação pública da violação, dependendo do que eles sabiam e quando, a janela de divulgação pode contrariar a exigência de notificação de 72 horas do GDPR“, disse Chris Morales, head of security Analytics at Vectra ao SC Magazine.

Fonte: SC Magazine & Bank Info Security & Época Negócios

Veja também:

Sobre mindsecblog 1762 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

6 Trackbacks / Pingbacks

  1. A vez da Sky deixar vazar dados de clientes
  2. Vaza dados e senhas de clientes da TIVIT
  3. China é suspeita por violação de dados do Marriott
  4. Banco Inter aceita pagar R$1,5 Milhão por vazamento de dados
  5. Prosegur adquire Cipher
  6. Marriott sofre segunda violação, expondo dados de 5,2 milhões de hóspedes – Information Security

Deixe sua opinião!