Innbrudd i hotelldatabase – informasjon om 500 millioner kunder stjålet

I slutten av november offentliggjorde Marriott International at de har blitt hacket. Informasjon om rundt 500 millioner hotellkunder er stjålet. Ifølge Reuters kan Kina stå bak.

Dette er saken

Marriott International fikk i september en varsel fra et internt sikkerhetsverktøy om at noen prøvde å få tilgang til databasen. Eksterne etterforskere fant så ut at den uautoriserte tilgangen strekker seg tilbake til 2014. Inntrengerne har kopiert og kryptert informasjonen de har funnet, som trolig har blitt værende i infrastrukturen uten å bli slettet. Først den 19. november klarte Marriott å dekryptere informasjonen, og fant dermed ut at den er hentet fra reservasjonsdatabasen til Starwood, en annen hotellkjede de eier. Dette melder Digi.no.

Hva slags informasjon som er stjålet varierer fra gjest til gjest, men det kan være navn, postadresse, telefonnummer, emailadresse, passnummer, fødselsdato, kjønn, ankomst- og avreiseinformasjon, reservasjonsdatoer og kortnummer. Kredittkortinformasjonen var kryptert, men krypteringsnøklene kan også være stjålet, ifølge The Guardian.

Marriott kjøpte Starwood i 2016, og ble med det verdens største hotelloperatør. Under Starwood igjen finnes Sheraton, Westin, W Hotels, St. Regis, Aloft, Le Meridien, Tribute, Four Points og Luxury Collection. Dette skriver Reuters.

Digi.no peker på at kjeden både har hoteller i Europa, og europeiske gjester. Dette betyr at General Data Protection Regulation (GDPR), eller Personvernforordningen, gjelder. Den skal styrke personvern i EU, og gjelder også for EØS. I Norge trådte den i kraft i juli. The Guardian mener datainnbruddet trolig kommer til å bli en sak for europeiske tilsynsorgan, både på grunn av omfanget, og fordi det tok så lang tid før Marriott meldte fra. Brudd mot GDPR kan føre til bøter på opptil 4 % av årlig omsetning, noe som for Marriott betyr noe rundt 117 millioner pund.

Ifølge Ilia Kolochenko, sjef for nettsikkerhetsselskapet High-Tech Bridge, har mange bedrifter vært altfor opptatt med å følge GDPR på papiret, mens de i praksis har ignorert sikkerhetskrav, grunnet stramme budsjetter, skriver The Guardian. 

Ifølge USA Today kommer Marriott til å dekke kostnadene for nye pass. Dette vil gjelde situasjoner hvor kunder blir svindlet som en følge av at passinformasjonen er stjålet. USA Today skriver også at gruppesøksmål mot Marriott er i gang, og at sikkerhetseksperter har stilt spørsmål ved hvorfor hackingen ikke ble oppdaget tidligere.

Kinesisk etterretning mistenkes

Torsdag forrige uke skrev Reuters at Kina er ”hovedmistenkt” i saken. Dette fordi hackerne har lagt igjen ”spor” i form av hackerverktøy, teknikker og prosedyrer som har vært brukt i andre angrep forbundet med kinesiske hackere. Samtidig påpekes det at andre kan ha brukt samme verktøy, og at en talsperson for kinesiske myndigheter tar kraftig avstand fra angrepet.

At hackingen har foregått over lengre tid, indikerer at dataene er brukt til etterretning heller enn nettkriminalitet, mener Michael Sussmann, tidligere ansatt i det amerikanske justisdepartementet. ”Tålmodighet er en dyd for spioner, men ikke for kriminelle som prøver å stjele kredittkortnumre,” sier han til Reuters.

Som nevnt begynte hackingen i 2014. Samme år ble amerikanske myndigheters Office of Personnel Management (OPM) hacket. John Bolton, sikkerhetsrådgiver ved Det hvite hus, mener Kina sto bak OPM-hackingen. Hvis det viser seg at kinesisk etterretning utførte Marriott-angrepet, vil det øke spenningen mellom Washington og Beijing ytterligere, skriver Reuters.