Wyciekły dane klientów sieci hoteli: Marriott, Hilton, Hyatt, … Winny zewnętrzny dostawca.

Jak podaje Bleepingcomputer, ~zhackowali zewnętrznego dostawcę tych hoteli – firmę Otelier, zapewniającego aplikację-usługę wspierającą zarządzanie hotelami.

Na początek hackerzy uzyskali dostęp do loginu / hasła pracownika Otelier – to pozwoliło im uzyskać dostęp do firmowego serwera Atlassian (Jira / Confluence). Dane logowania zostały pozyskane z tzw. infostealera (czyli jeden z pracowników zalogował się do platformy z zainfekowanego komputera)

Mając dane dostępowe, atakujący zaczęli przeszukiwać zasoby Jira / Confluence i znaleźli dane dostępowe do „dysku sieciowego” (czyli amazonowego S3), zawierającego wrażliwe dane klientów.

Dane zostały właśnie zaimportowane do serwisu haveibeenpwned (~430000 unikalnych maili + powiązane z nimi informacje – patrz dalej). Warto też zaznaczyć, że cały „źródłowy” zbiór wykradzionych danych był dość spory (prawdopodobnie np. dlatego, że pojedynczy klient mógł dokonać wielu rezerwacji, korzystając z jednego maila):

Troy Hunt told BleepingComputer that he received an extensive set of data, with the reservations table containing 39 million rows and a users table with 212 million.

Zakres wykradzionych danych: imiona/nazwiska, adresy e-mail, adresy fizyczne, numery telefonów [w bazie nie ma haseł].

Garść rad na koniec:

• Pamiętajcie o dwuczynnikowym uwierzytelnieniu (2FA). Skonfigurowanie takiego mechanizmu w appce Atlassiana przerwałoby dość szybko cały atak
• Pamiętajcie o weryfikowaniu bezpieczeństwa dostawców (szczególnie takich, którzy przetwarzają ogromne ilości danych o Waszych klientach)
• Przechowywanie loginów/haseł w formie jawnej w ticketach Jira – to nienajlepszy pomysł

~ms