Marriott International administrerende DIREKTØR Arne Sorenson vidnede foran en AMERIKANSKE Senat underudvalg i går, at afsløre nye detaljer om et brud på hotellet kæde offentliggjort sidste år.
At tale i foran af Senatets Udvalg for Homeland Security & Statslige Anliggender Permanent Underudvalg om Undersøgelser, Sorenson undskyldt over for selskabets kunder, men også skudt ned rygter om, at Kina stod bag hack.
I henhold til en forberedt erklæring for hans vidneudsagn, Sorenson sagt at den første gang, når Marriott lært, at noget kunne være galt var på September 8, sidste år, da de blev kontaktet af Accenture, DET selskab, der administrerer den Starwood gæst reservationen database.
Marriott tidligere havde erhvervet Starwood hotels kæden i September 2016 og arbejder på en plan om at migrere sine kunder til sin egen gæst reservationssystem, men på det tidspunkt, Starwood system stadig var adskilt fra resten af Marriott netværk.
Men på September 8, Accenture fortalte Marriott ‘ s IT-medarbejdere, at en af deres sikkerhedsprodukter, en database overvågningssystem kaldet IBM Guardium, havde registreret en anomali på Starwood gæst reservationen database en dag tidligere, September 7.
“Guardium alarm var udløst af en forespørgsel fra en administrators konto for at vende tilbage optælling af rækker fra en tabel i databasen,” Sorenson sagde.
Sådanne forespørgsler er farlig, fordi den software, der kører på toppen af en database, der normalt ikke er nødt til at gøre dem. Dette betød, at et menneske var at gøre denne form for meget specifik forespørgsel i hånden.
“Som en del af vores undersøgelse af den alarm, vi har lært, at den enkelte, hvis legitimationsoplysninger blev brugt, havde faktisk ikke gjort forespørgsel,” Sorenson sagde.
På det tidspunkt, Marriott personale indså, at de havde at gøre med en mulig overtrædelse, selv om de ikke vidste, om det var noget stort-eller bare begyndelsen på et hack, der kan være meget let indeholdt, før hackerne adgang til alle brugerdata.
Selskabet sagde, at det bragt i tredjeparts-retsmedicinske efterforskere på September 10, for at hjælpe sin IT-medarbejdere kig ind i en mulig overtrædelse. Den retsmedicinske virksomhedens rodede afdækket malware på Starwood IT-systemer mindre end en uge senere.
“Efterforskerne afsløret en Remote Access Trojan (‘ROTTE’), en form for malware, der gør det muligt for en hacker at skjulte adgang til, overvåge, og endda få kontrol over en computer. Jeg blev anmeldt af den igangværende undersøgelse af dagen, og vores Bestyrelse blev meddelt den følgende dag,” den administrerende DIREKTØR sagde.
Afdække det fulde omfang af angreb fandt betydelig retsmedicinske arbejde, den administrerende DIREKTØR sagde. Men på trods af ROTTEN ‘s tilstedeværelse på Starwood IT-system, på det tidspunkt, var der ingen beviser for, at uautoriserede parter havde adgang til kundens data, der ligger i Starwood’ s guest reservation database.
Men undersøgelsen kunne ikke stoppe. Ved den næste måned, i oktober, den retsmedicinske firma fandt også Mimikatz, en anal-test værktøj, der anvendes af både sikkerhed forskere og hackere både, der søger en enheds hukommelse til brugernavne og adgangskoder. Værktøjet blev sandsynligvis brugt til at hjælpe hackere erhverve adgangskoder til andre Starwood-systemer og hjælpe dem med at flytte til andre dele af IT-netværket.
Endnu en gang, efterforskere fandt ikke bevis for, at hackere haft adgang til kundens data.
Hack slået fra “formentlig dårlig” til “dårlig” den næste måned, i November, når efterforskerne fandt, at hackere havde været aktive på Starwood ‘s IT-netværk siden juli 2014, længe før Marriott’ s overtagelse.
Dette betød, at hackere havde opereret mere end to år uden at blive opdaget, og gjort hele undersøgelsen meget hårdere, som den retsmedicinske firma nu var nødt til at grave gennem årene af logs.
Endnu en gang, var der stadig ingen beviser for, at hackere kan få adgang til kundedata.
Men det uundgåelige i sidste ende skete, og det skete i midten af November. Uddrag fra kildekoden Sorenson er forberedt erklæring om, hvordan og hvornår de fandt ud af, at hackere havde stjålet Starwood kundedata er nedenfor:
November 13, vores efterforskere opdagede dokumentation for, at to komprimeres, krypteres filerne var blevet slettet fra en enhed, som de var ved at undersøge. Filerne blev krypteret og det faktiske indhold var ukendt. Der var også tegn på, at tyder på, at disse to filer, der havde potentielt blevet fjernet fra Starwood netværk. Seks dage senere, November 19, 2018, efterforskere blev i stand til at dekryptere de filer, og fandt, at det ene indeholdt en eksport af en tabel fra Starwood Gæst Reservationen Database, der indeholder gæst data, mens den anden indeholdt en eksport af en tabel, der holder passport-oplysninger.
På dette punkt, skriften var på væggen, og det blev skrevet i neon blinkende lys. Hackere havde overtrådt Starwood ‘ s IT-netværk og havde stjålet kunde detaljer fra sin gæst reservationen database.
Hvad der fulgte, er allerede nu meget godt dokumenteret. Hotellet kæde meddelt myndigheder og gik til offentligheden med sin bruddet offentliggørelse på November 30, afslører en brud, der påvirkede omkring 500 millioner kunder, brud statistik, at selskabet senere opdateret i januar 2019 og igen i Marts.
Ifølge Sorenson er udarbejdet redegørelse og en opdatering på Starwood anmeldelse af brud på hjemmeside, disse er den seneste statistik omkring Marriott brud:
383 millioner gæst records18.5 millioner krypteret pas numbers5.25 millioner ukrypteret pasnummer (663,000 fra USA)9.1 millioner krypteret betalingskort numbers385,000-kort-numre, der stadig var gældende på tidspunktet for bruddet
Marriott CEO sagde igen, at efterforskningsmæssige indsats har endnu til at afdække tyder på, at hackere har fået adgang til krypterings-nøgle, der bruges til at kryptere betalingskort numre, hvilket betyder, at de fleste af kompromitteret betalingskort numre er stadig ubrugelig til angriberne.
Desuden, den samlede optælling af 383 mio påvirket hotellets gæster er sandsynligvis endnu mindre.
“[I]n mange tilfælde, der synes at være flere poster for den samme gæst, men på grund af karakteren af de data, yderligere de-duplikering ikke let kan udføres,” Sorenson sagde. “Vi kan ikke trygt at afgøre, om registreringer med navne, der ligner hinanden, eller endog identiske navne med forskellige adresser, repræsenterer en person eller flere personer, men vi har indgået med en rimelig grad af sikkerhed for, at oplysninger om færre end 383 millioner unikke gæster, der har været involveret.”
Sorenson sagde, at offentliggørelse af bruddet var også en massiv indsats og involveret anmelde FBI, alle OS justitsministre, FTC, SEC, lovgivere i 20 forskellige lande, fire store betalingskort netværk og deres kreditkort forarbejdning leverandører, og tre AMERIKANSKE credit reporting agenturer.
Et opsøgende team, der arbejder på vegne af betalingskort netværk er stadig kigger ind hack, adskilt fra Marriott ‘ s team og AMERIKANSKE myndigheder.
Besvarelse af spørgsmål fra Senatets underudvalg, Sorenson også rettet en udtalelse fra den AMERIKANSKE Udenrigsminister Mike Pompeo sidste år i et interview på “Fox & Friends”, hvor det Hvide Hus officielle skylden hack på statslige Kinesiske hackere.
“Det korte svar er, at vi ikke ved,” Sorenson sagde, da han blev spurgt om Pompeo bemærkninger. “Jeg føler mig helt utilstrækkelig selv om tegning slutninger ud fra de oplysninger, som vi har opnået.”
En optagelse af Sorenson vidnesbyrd er tilgængelig her.
I samme retsmøde, Equifax ‘ s nye administrerende DIREKTØR Maerket Begor blev også interviewet om hans selskabets 2017 hack. Han havde ikke videregive nye oplysninger, som Equifax embedsmænd har været i front af Senatets udvalg for mere end et år nu, og de nærmere detaljer omkring 2017 hack er allerede kendt.
Vi har tidligere offentliggjort en artikel om Equifax hack post-mortem her, hvis brugerne er interesseret i at finde ud af, hvordan virksomheden blev kompromitteret.
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre