Παραβίαση δεδομένων Marriott: Τα διαβατήρια δεν είναι κρυπτογραφημένα

Η Marriott δήλωσε σήμερα ότι ομάδες ιατροδικαστών και αναλυτών δεδομένων είχαν εντοπίσει "περίπου 383 εκατομμύρια αρχεία ως το ανώτατο όριο" για τον συνολικό αριθμό των αρχείων κρατήσεων επισκεπτών που χάθηκαν. Η εταιρεία εξακολουθεί να λέει ότι δεν έχει ιδέα ποιος πραγματοποίησε την επίθεση και πρότεινε ότι ο αριθμός θα μειωνόταν με την πάροδο του χρόνου καθώς εντοπίστηκαν περισσότερα διπλά αρχεία.

Αυτό που έκανε την επίθεση Starwood διαφορετική ήταν η παρουσία αριθμών διαβατηρίων, κάτι που θα μπορούσε να διευκολύνει πολύ μια υπηρεσία πληροφοριών να παρακολουθεί άτομα που διασχίζουν σύνορα. Αυτό είναι ιδιαίτερα σημαντικό σε αυτήν την περίπτωση: Τον Δεκέμβριο, οι The New York Times ανέφεραν ότι η επίθεση ήταν μέρος μιας προσπάθειας συγκέντρωσης πληροφοριών από την Κίνα, η οποία, φτάνοντας μέχρι το 2014, επίσης χάκαρε τους Αμερικανούς ασφαλιστές υγείας και το Γραφείο Διαχείρισης Προσωπικού, το οποίο διατηρεί την ασφάλεια αρχεία εκκαθάρισης σε εκατομμύρια Αμερικανούς.

Μέχρι στιγμής, δεν υπάρχουν γνωστές περιπτώσεις στις οποίες βρέθηκαν κλεμμένα διαβατήρια ή στοιχεία πιστωτικής κάρτας σε δόλιες συναλλαγές. Αλλά για τους ερευνητές επίθεσης στον κυβερνοχώρο, αυτό είναι μόνο ένα άλλο σημάδι ότι η πειρατεία πραγματοποιήθηκε από υπηρεσίες πληροφοριών και όχι από εγκληματίες. Οι οργανισμοί θα ήθελαν να χρησιμοποιήσουν τα δεδομένα για δικούς τους σκοπούς - δημιουργία βάσεων δεδομένων και παρακολούθηση στόχων κυβερνητικής ή βιομηχανικής επιτήρησης - αντί να εκμεταλλευτούν τα δεδομένα για οικονομικό κέρδος.

Συνολικά, η επίθεση φάνηκε να αποτελεί μέρος μιας ευρύτερης προσπάθειας του Υπουργείου Κρατικής Ασφάλειας της Κίνας να συντάξει μια τεράστια βάση δεδομένων Αμερικανών και άλλων με ευαίσθητες κυβερνητικές ή βιομηχανικές θέσεις - συμπεριλαμβανομένων των τόπων εργασίας τους, των ονομάτων των συναδέλφων τους, των ξένων επαφών και φίλων , και πού ταξιδεύουν.

«Τα μεγάλα δεδομένα είναι το νέο κύμα της αντι-νοημοσύνης», δήλωσε ο Τζέιμς Λ. Λιούις, εμπειρογνώμονας στον τομέα της ασφάλειας στον κυβερνοχώρο, ο οποίος διαχειρίζεται το πρόγραμμα πολιτικής τεχνολογίας στο Κέντρο Στρατηγικών και Διεθνών Σπουδών στην Ουάσινγκτον, τον περασμένο μήνα.

Η Marriott International δήλωσε ότι κλέφθηκαν λιγότερα αρχεία πελατών από ό, τι αρχικά φοβόταν, αλλά πρόσθεσε ότι περισσότεροι από 25 εκατομμύρια αριθμοί διαβατηρίων είχαν κλαπεί στην επίθεση στον κυβερνοχώρο του περασμένου μήνα. Η εταιρεία είπε σήμερα ότι η μεγαλύτερη παραβίαση προσωπικών πληροφοριών στην ιστορία δεν ήταν τόσο μεγάλη όσο φοβόταν για πρώτη φορά, αλλά για πρώτη φορά παραδέχτηκε ότι η ξενοδοχειακή μονάδα Starwood δεν κρυπτογράφησε τους αριθμούς διαβατηρίου για περίπου 5 εκατομμύρια επισκέπτες. Αυτοί οι αριθμοί διαβατηρίων χάθηκαν σε μια επίθεση που πολλοί εξωτερικοί εμπειρογνώμονες πιστεύουν ότι πραγματοποιήθηκε από κινεζικές υπηρεσίες πληροφοριών.

Όταν η επίθεση αποκαλύφθηκε για πρώτη φορά από το Marriott στα τέλη Νοεμβρίου, ανέφερε ότι ενδέχεται να έχουν κλαπεί πληροφορίες για πάνω από 500 εκατομμύρια επισκέπτες, όλα από τη βάση δεδομένων κρατήσεων της Starwood, μιας μεγάλης ξενοδοχειακής αλυσίδας που είχε αποκτήσει η Marriot. Αλλά εκείνη την εποχή, η εταιρεία είπε ότι το νούμερο ήταν το χειρότερο σενάριο, επειδή περιλάμβανε εκατομμύρια διπλά αρχεία.

Το αναθεωρημένο ποσοστό εξακολουθεί να είναι η μεγαλύτερη απώλεια στην ιστορία, μεγαλύτερη από την επίθεση στην Equifax, τον οργανισμό αναφοράς καταναλωτικής πίστης, που έχασε την άδεια οδήγησης και τους αριθμούς κοινωνικής ασφάλισης περίπου 145.5 εκατομμυρίων Αμερικανών το 2017, οδηγώντας στην απομάκρυνση του διευθύνοντος συμβούλου της και μια τεράστια απώλεια εμπιστοσύνης στην εταιρεία.

Ένας ανώτερος αξιωματούχος του κινεζικού Υπουργείου Κρατικής Ασφάλειας συνελήφθη στο Βέλγιο στα τέλη του περασμένου έτους και εκδόθηκε στις Ηνωμένες Πολιτείες με την κατηγορία ότι διαδραμάτισε κεντρικό ρόλο στην πειρατεία των αμερικανικών αμυντικών εταιρειών και άλλοι εντοπίστηκαν σε κατηγορίες του Υπουργείου Δικαιοσύνης Δεκέμβριος. Αλλά αυτές οι περιπτώσεις δεν σχετίζονται με την επίθεση στο Marriott, την οποία το FBI ερευνά ακόμη.

Η Κίνα αρνήθηκε οποιαδήποτε γνώση της επίθεσης στο Marriott. Τον Δεκέμβριο, ο Τζενγκ Σούανγκ, εκπρόσωπος του Υπουργείου Εξωτερικών της, δήλωσε: «Η Κίνα αντιτίθεται σθεναρά σε όλες τις μορφές επίθεσης στον κυβερνοχώρο και την καταστρατηγεί σύμφωνα με το νόμο».

"Εάν προσφερθούν αποδεικτικά στοιχεία, τα αρμόδια κινεζικά τμήματα θα διενεργήσουν έρευνες σύμφωνα με το νόμο", πρόσθεσε ο εκπρόσωπος.

Η έρευνα της Marriott αποκάλυψε μια νέα ευπάθεια στα συστήματα ξενοδοχείων: Τι συμβαίνει με τα δεδομένα διαβατηρίων όταν ένας πελάτης κάνει κράτηση ή κάνει έλεγχο σε ένα ξενοδοχείο, συνήθως στο εξωτερικό, και παραδίδει ένα διαβατήριο στον υπάλληλο γραφείου. Η Marriott είπε για πρώτη φορά ότι 5.25 εκατομμύρια αριθμοί διαβατηρίων διατηρήθηκαν στο σύστημα Starwood σε απλά, μη κρυπτογραφημένα αρχεία δεδομένων - που σημαίνει ότι διαβάζονταν εύκολα από οποιονδήποτε μέσα στο σύστημα κρατήσεων. Επιπλέον 20.3 εκατομμύρια αριθμοί διαβατηρίων διατηρήθηκαν σε κρυπτογραφημένα αρχεία, κάτι που θα απαιτούσε την ανάγνωση ενός κύριου κλειδιού κρυπτογράφησης. Δεν είναι σαφές πόσα από αυτά αφορούσαν διαβατήρια των ΗΠΑ και πόσα προέρχονται από άλλες χώρες.

«Δεν υπάρχει καμία ένδειξη ότι το μη εξουσιοδοτημένο τρίτο μέρος είχε πρόσβαση στο κύριο κλειδί κρυπτογράφησης που απαιτείται για την αποκρυπτογράφηση των κρυπτογραφημένων αριθμών διαβατηρίου», δήλωσε η Marriott σε δήλωση.

Δεν ήταν άμεσα σαφές γιατί ορισμένοι αριθμοί ήταν κρυπτογραφημένοι και άλλοι δεν ήταν - εκτός από τα ξενοδοχεία σε κάθε χώρα, και μερικές φορές σε κάθε ιδιοκτησία, είχαν διαφορετικά πρωτόκολλα για τη διαχείριση των πληροφοριών διαβατηρίου. Οι εμπειρογνώμονες πληροφοριών σημειώνουν ότι οι υπηρεσίες πληροφοριών των ΗΠΑ αναζητούν συχνά τον αριθμό διαβατηρίου των αλλοδαπών που παρακολουθούν εκτός των Ηνωμένων Πολιτειών - κάτι που μπορεί να εξηγήσει γιατί η κυβέρνηση των ΗΠΑ δεν επέμενε για ισχυρότερη κρυπτογράφηση δεδομένων διαβατηρίων παγκοσμίως.

Ερωτηθείς πώς η Marriott χειριζόταν τις πληροφορίες τώρα που έχει συγχωνεύσει τα δεδομένα της Starwood στο σύστημα κρατήσεων Marriott - μια συγχώνευση που μόλις ολοκληρώθηκε στα τέλη του 2018 - ο Connie Kim, εκπρόσωπος της εταιρείας, δήλωσε: «Εξετάζουμε την ικανότητά μας να κινούνται σε καθολική κρυπτογράφηση αριθμών διαβατηρίων και θα συνεργαστεί με τους προμηθευτές συστημάτων μας για να κατανοήσουν καλύτερα τις δυνατότητές τους, καθώς και να αναθεωρήσουν τους ισχύοντες εθνικούς και τοπικούς κανονισμούς. "

Το Στέιτ Ντιπάρτμεντ εξέδωσε δήλωση τον περασμένο μήνα, λέγοντας στους κατόχους διαβατηρίων να μην πανικοβληθούν επειδή ο αριθμός και μόνο δεν θα επέτρεπε σε κάποιον να δημιουργήσει ένα ψεύτικο διαβατήριο. Η Marriott είπε ότι θα πληρώσει για ένα νέο διαβατήριο για όποιον του οποίου οι πληροφορίες διαβατηρίου, παραβιασμένες από τα συστήματά τους, βρέθηκε να εμπλέκονται σε απάτη. Όμως αυτό ήταν κάτι εταιρικό, αφού δεν παρείχε κάλυψη στους φιλοξενούμενους που ήθελαν ένα νέο διαβατήριο απλώς και μόνο επειδή τα δεδομένα τους είχαν ληφθεί από ξένους κατασκόπους.

Μέχρι στιγμής, η εταιρεία έχει καταφέρει να αντιμετωπίσει αυτό το ζήτημα λέγοντας ότι δεν έχει αποδεικτικά στοιχεία για το ποιοι ήταν οι επιτιθέμενοι και οι Ηνωμένες Πολιτείες δεν κατηγόρησαν επίσημα την Κίνα στην υπόθεση. Όμως, ιδιωτικές ομάδες κυβερνο-ευφυΐας που εξέτασαν την παραβίαση έχουν δει ισχυρές παραλληλισμούς με τις άλλες, κινέζικες, επιθέσεις που βρίσκονται σε εξέλιξη εκείνη τη στιγμή. Ο πρόεδρος και διευθύνων σύμβουλος της εταιρείας, Arne Sorenson, δεν έχει απαντήσει σε ερωτήσεις σχετικά με την πειρατεία στο κοινό, και η Marriott είπε ότι ταξίδευε και απέρριψε ένα αίτημα από τους Times για να μιλήσει για hacking.

Η εταιρεία είπε επίσης ότι περίπου 8.6 εκατομμύρια πιστωτικές και χρεωστικές κάρτες "εμπλέκονται" στο συμβάν, αλλά όλες είναι κρυπτογραφημένες - και όλες εκτός από 354,000 κάρτες είχαν λήξει μέχρι τον Σεπτέμβριο του 2018, όταν ανακαλύφθηκε η εισβολή, η οποία συνεχίστηκε για χρόνια.