Tegnap este kiderült, hogy a nagy és neves Marriott szállodaláncot elég komoly hackertámadás érte, amelynek keretén belül akár 500 millió vendég személyes adatait is megszerezhették a kiberbűnözők. A problémára egy belső biztonsági eszköz világított rá még szeptember 8-án, az esetet viszont csak most hozták nyilvánosságra, ugyanis a hackerek titkosították a feltört adatbázisokat, a titkosítás visszafejtéséhez pedig több hétre volt szükség, így a folyamat egészen november második feléig tartott.
A támadók az aktuális információk szerint a Marriott által 2016-ban felvásárolt Starwood szállodalánc adatbázisát törték fel, amely külön rendszeren foglalt helyet, így a Marriott vendégeinek foglalási és egyéb adatai nem kerültek veszélybe. Az aktuális tájékoztatás alapján az adatbázisban a vendégek neve, címe, bankkártya-száma és telefonszáma egyaránt jelen volt, de néhány extra adatot is megszerezhettek, mint például az útlevélszámokat, az utazási helyszíneket, illetve az indulási és érkezési dátumokat is. A bankkártya és hitelkártya adatokat a hírek szerint titkosítva tárolták az adatbázisban – a többi adatról ugyanez még nem mondható el teljes bizonyossággal –, ám a szóvivő szerint egyelőre azt sem lehet kizárni, hogy a hackerek a titkosításhoz használatos kulcsokat is megszerezték – amelyeket egyébként kifejezetten biztonságosan kéne tárolni.
Az ügy azért is kínos, mert négy éve fosztogatták az adatbázist a hackerek
És ha a fenti még nem lenne elég, most jön a csattanó: a hackerek a vizsgálat szerint 2014 óta fértek hozzá az említett adatbázishoz és így a vendégek foglalási adataihoz is, a támadást azonban mégis csak néhány hónapja vették észre.
Egyes vélemények szerint a támadás mögött nem csak pénzszerzésre és személyazonosság-lopásra kihegyezett akció állhat, hanem akár nemzetállami kémkedés is, hiszen a szállodalánchoz tartozó hotelekben diplomaták, kémek, katonai tisztviselők, illetve üzletemberek is megszálltak, akikről a feltört adatbázison keresztül értékes adatokat szerezhettek. Hogy ilyesmi áll-e a háttérben? A vizsgálat egészen biztosan kideríti, ugyanis az illetékes szervek már több államban is nyomoznak.
Akárhogy is, a kiszivárgott adatok meglehetősen kényesek, hiszen rengeteg információt szolgáltatnak a különböző vendégek személyes adataival, szokásaival, illetve életstílusával kapcsolatban, és ezeket az információkat számtalan dologra lehet felhasználni.
Az utazási ágazatban egyébként régóta rögzítik a különböző adatokat, ám biztonsági intézkedések terén még elég sok lemaradást kell behozniuk bizonyos piaci szereplőknek, hogy a vendégek adatait megfelelően védeni tudják.
A kényes üggyel kapcsolatban egyelőre csak ennyi információ áll rendelkezésre, de az biztos, hogy a dolognak még lesz folytatása. Mivel az adatlopás több ország állampolgárait érinti, így nincs kizárva, hogy a Marriott International adatvédelmi bírságot is kap a megfelelő európai szervektől, hiszen a GDPR elég szigorúan meghatározza, hogyan kell eljárni a felhasználói adatok kezelése és tárolása során.