Konferencja Mega Sekurak Hacking Party w Krakowie – 26-27 października!
Adminie… Czy znamy Twoje grzechy? ;-) Sprawdź!
Wyciek danych z sieci hotelowej Marriott; wyciekły dane ponad 5 milionów osób
Sieć hotelowa Marriott w oficjalnym oświadczeniu prasowym poinformowała wczoraj (31 marca) o wycieku danych 5,2 milionów osób. Wśród danych, które wyciekły znajdują się m.in. dane osobowe (imię, nazwisko, mail, numer telefonu) czy dane dotyczące programów lojalnościowych. Według informacji, na obecnym etapie śledztwa nie ma podstaw, by uważać, że wyciekły hasła, PIN-y, numery kart kredytowych czy numery paszportów.
Jak doszło do wycieku? Według informacji podanych przez sieć Marriott, dane logujące dwóch pracowników jednej z franczyz (nie podano której) mogły pozwalać na uzyskiwanie zbyt wielu informacji o danych gości. Najprawdopodobniej akcja działa się od środka stycznia 2020 i końca lutego 2020, kiedy te konta zostały zablokowane.
Od strony technicznej wygląda więc na to, że przyznano zbyt duże uprawnienia dla kont użytkowników. Od strony programistycznej można zastosować dwie prosty zasad, by zminimalizować ryzyko takich ataków lub by móc przeprowadzić właściwe śledztwo po samym ataku:
- Wprowadzić rate-limiting na uzyskiwanie danych o gościach. Z informacji prasowej wynika, że atak trwał 1,5 miesiąca (załóżmy więc, że 45 dni) a wydobyto dane 5,2 milionów osób, z czego można obliczyć, że średnio wydobywano dane 80 gości w ciągu minuty (zakładając, że atak szedłby całą dobę, a prawdopodobnie tak nie było). Widać, że jest to liczba mocno zawyżona w stosunku do normalnego działania hotelu. Można spróbować wyprowadzić statystykę: średnio ile razy w ciągu dnia pracy, jeden pracownik potrzebuje uzyskiwać dane o gościach. Jeśli ktoś wyraźnie odstaje od tej normy (czyli pobiera o wiele więcej danych), w systemach bezpieczeństwa może zostać wyzwolony alert,
- Gromadzić dokładne logi: kto, kiedy i jakie dane próbował uzyskać. Sieć Marriott informuje, że do gości dotkniętych atakiem będą wysłane maile, więc najpewniej takie logi były gromadzone.
Warto odnotować, że nie jest to pierwsza wpadka sieci Marriott; w 2018 opisywaliśmy na Sekuraku wyciek danych 500 milionów gości. W odpowiedzi na tamten incydent, ICO (brytyjski odpowiednik UODO) planował nałożenie na sieć kary w wysokości 99 milionów funtów.
— mb
Jak menadżerowanie znają tylko 2 wyrażenia ‘Zgoda’ i ‘Brak Zgody’ to tak się potem kończy nadawanie uprawnień :D
W punkt !
Podobnie: “Akceptuję ryzyko!”
Albo: “To się nie wydarzy!”
Jak wyliczyliście tę wartość 80 gości na godzinę? 🧐
Ups, tam miało być “80 gości na minutę”. Już poprawiłem we wpisie.
Dla potomnych:
45 (dni) * 24 (godziny) * 60 (minut) = 64800 minut ataku.
5200000 (gości) / 64800 (minut) ≈ 80 gości/minutę
Baza maili miała by ciekawe wykorzystanie. Gdyby tak z kilku wycieków kierować reklamę na FB do osób, które lubią często mieszkać w hotelach np. tutaj punkty mogą podpowiedzieć kto lubi czas tak spędzać, może jeszcze lokalizacje gdzie kto lubi przebywać by się przydała, czy lubi kody rabatowe, czy ma rodzinę, żonę, kochankę itd.. Oczywiście ładnie przygotowana baza, usunięcie firmowych maili, selekcja dobrych kandydatów. Legalnie to można też zrobić oczywiście przez brokerów danych, ale dane chyba mniej dokładne. Ale tutaj by była kolejna możliwość weryfikacji i poprawy bazy albo zbudowania. Może wycieki danych miały by jakieś praktyczne zastosowanie biznesowe. Ciekawe jaki byłby zwrot z inwestycji w reklamę. I pytanie czy legalne to by było? Wgranie na FB bazy do reklam pewnie tak, w końcu jest to zgodne z regulaminem FB, który oczywiście każdy dokładnie przeczytał. Potem kolejne ciekawe możliwości się pojawiają. Czyżby nowe ciekawe zastosowanie baz z wycieków. Chociaż jak są dane dostępne publicznie w internecie, to chyba dane niczyje, ciekawe czy znalezioną bazę można tak użyć. Ciekawe zagadnienie prawne. Z danych co do których nie do końca powinniśmy mieć dostęp budujemy legalna bazę już za pomocą FB.
“W odpowiedzi na tamten incydent, ICO (brytyjski odpowiednik UODO) planował nałożenie na sieć kary w wysokości 99 milionów funtów.”
Czy na tamtym “planowaniu” sie skonczylo, czy Marriott dostal w koncu kare?
Na stronie ICO udało mi się znaleźć jedynie “Intention to Fine Marriott International”, bez potwierdzenie, czy to rzeczywiście się wydarzyło.
https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/statement-intention-to-fine-marriott-international-inc-more-than-99-million-under-gdpr-for-data-breach/