Marriott International, CEO di Arne Sorenson ha testimoniato davanti a un sottocomitato del Senato di ieri, rivelando nuovi dettagli su una violazione della sicurezza della catena di alberghi diffusi lo scorso anno.
Parlando davanti alla Commissione del Senato Homeland Security & Affari Governativi Sottocommissione Permanente sulle Indagini, Sorenson si è scusato con i clienti dell’azienda, ma anche abbattuto i rumors che la Cina era dietro l’hack.
Secondo una dichiarazione preparata per la sua testimonianza, Sorenson ha detto che la prima volta Marriott imparato che qualcosa potrebbe essere sbagliato è stato l ‘ 8 settembre, l’anno scorso, quando sono stati contattati da Accenture, la società che gestiva il Starwood ospite database di prenotazione.
Marriott aveva in precedenza acquisito il Starwood hotels in settembre 2016 e stava lavorando su un piano di migrazione per i clienti ai propri ospiti sistema di prenotazione, ma a quel tempo, il sistema Starwood era ancora separata dal resto del Marriott di rete.
Ma l ‘ 8 settembre, Accenture ha detto Marriott È il personale che uno dei loro prodotti di sicurezza di una banca dati sistema di monitoraggio chiamato IBM Guardium, aveva rilevato un’anomalia sulla Starwood ospite database di prenotazione un giorno prima, il 7 settembre.
“Il Guardium avviso è stato innescato da una query da un account di amministratore per restituire il numero di righe da una tabella del database,” Sorenson ha detto.
Tali richieste sono considerate pericolose perché il software che si appoggia su un database non è di solito necessario per farli. Questo significava che un operatore umano era di questo tipo molto specifico di query a mano.
“Come parte della nostra indagine per la segnalazione, abbiamo imparato che l’individuo, le cui credenziali sono state utilizzate non avesse fatto la query,” Sorenson ha detto.
A quel punto, il Marriott personale realizzata avevano a che fare con una probabile violazione, anche se non so se è stato qualcosa di grande o solo l’inizio di un hack che potrebbe essere molto facilmente contenuti prima di attaccanti accedere a tutti i dati utente.
L’azienda ha detto che ha portato a terzi, gli investigatori forensi, il 10 settembre, per aiutare il suo personale sguardo in una possibile violazione. Forense impresa frugare scoperto il malware su Starwood sistemi IT meno di una settimana dopo.
“Gli investigatori hanno scoperto un Trojan di Accesso Remoto (‘RATTO’), una forma di malware che consente a un utente malintenzionato di nascosto accesso, sorvegliare, e anche di ottenere il controllo su un computer. Mi è stata notificata all’indagine in corso quel giorno, e il nostro Consiglio di amministrazione è stato notificato il giorno seguente,” il CEO ha detto.
Scoprendo la portata dell’attacco ha avuto notevole il lavoro forense, l’amministratore delegato ha detto. Tuttavia, nonostante il RATTO presenza sul Starwood, a questo punto, non vi era alcuna prova che le parti non autorizzate hanno avuto accesso i dati dei clienti situato nel Starwood ospite database di prenotazione.
Ma l’indagine non si è fermata. Entro il mese successivo, nel mese di ottobre, forense studio ha anche trovato Mimikatz, un test di penetrazione strumento utilizzato da entrambi i ricercatori di sicurezza e hacker, sia che la ricerca di un dispositivo di memoria per i nomi utente e le password. Lo strumento è stato probabilmente utilizzato per aiutare gli hacker acquisire le password per altri sistemi Starwood e aiutarli a spostarsi in altre parti della rete.
Ancora una volta, gli investigatori non hanno trovato prove che gli hacker hanno avuto accesso ai dati dei clienti.
L’hack è trasformato da “probabilmente male” a “cattivo”, il mese successivo, nel mese di novembre, quando gli investigatori hanno scoperto che gli hacker era stato attivo su di Starwood in rete dal mese di luglio 2014, a lungo prima di Marriott acquisizione.
Questo significava che gli hacker avevano gestito più di due anni senza essere rilevato, e di fatto l’intera indagine molto più difficile, come il forensi azienda ora ha dovuto scavare attraverso anni di registri.
Ancora una volta, c’era ancora alcuna prova di hacker di accedere ai dati dei clienti.
Ma l’inevitabile alla fine è successo, ed è successo a metà novembre. Estratto da Sorenson dell’istruzione preparata su come e quando hanno capito che gli hacker avevano rubato Starwood i dati del cliente vengono di seguito:
Il 13 novembre, i nostri ricercatori ha scoperto la prova che due compressione, la crittografia dei file è stato eliminato da un dispositivo che stavano esaminando. I file sono stati crittografati e il contenuto effettivo era sconosciuto. C’era anche prove che suggeriscono che questi due file erano potenzialmente stata rimossa dalla Starwood rete. Sei giorni dopo, il 19 novembre, 2018, gli investigatori sono stati in grado di decifrare i file, e trovato che quella contenuta un’esportazione di una tabella dalla Starwood Prenotazione Ospite Database contenente ospite di dati, mentre l’altro conteneva un’esportazione di una tabella possesso di passaporto informazioni.
A questo punto, la scritta era sul muro, ed è stata scritta in neon lampeggiante luci. Hacker ha violato Starwood rete e aveva rubato i dati del cliente dal suo ospite database di prenotazione.
Quello che segue è ormai già molto ben documentato. La catena di hotel avvisato le autorità e il pubblico è andato con la sua violazione dei dati divulgazione su novembre 30, rivelando una violazione che hanno avuto un impatto intorno a 500 milioni di clienti, in violazione delle statistiche che la società ha poi aggiornato nel mese di gennaio 2019, e di nuovo nel mese di Marzo.
Secondo Sorenson dell’istruzione preparata e un aggiornamento sulla Starwood di notifica di violazione di sito web, queste sono le ultime statistiche che circonda il Marriott violazione:
383 milioni ospite records18.5 milioni di crittografato passaporto numbers5.25 milioni di euro in chiaro numero di passaporto (un massimo di 663.000 da 9,1 milioni di crittografato carta di pagamento numbers385,000 numeri di carta che erano ancora valido al momento della violazione
Il Marriott CEO ha detto di nuovo che gli sforzi investigative devono ancora scoprire prove per suggerire che gli hacker hanno avuto accesso alla chiave di crittografia utilizzata per crittografare i numeri delle carte di pagamento, il che significa che la maggior parte del compromesso numeri delle carte di pagamento sono ancora inutile attaccanti.
Inoltre, la totale riscontro di 383 milioni di impatto gli ospiti dell’hotel è probabilmente ancora più piccolo.
“[I]n molti casi, sembra che ci siano più record per lo stesso ospite, ma a causa della natura dei dati, ulteriore de-duplicazione non può essere facilmente eseguita,” Sorenson ha detto. “Non si può determinare con sicurezza se i documenti con nomi simili o addirittura identici con nomi diversi indirizzi, rappresentare una persona o più persone, ma abbiamo concluso con un buon grado di certezza che le informazioni per meno di 383 milioni di visitatori unici ospiti è stato coinvolto.”
Sorenson ha detto che rivelare la violazione è stata anche un enorme sforzo e coinvolti notifica FBI, tutti NOI Avvocati Generali dello Stato, la FTC, la SEC, l’autorità di regolamentazione in 20 paesi diversi, i quattro principali carte di pagamento le reti e la loro elaborazione della carta di credito fornitori, e NOI tre agenzie di credito di segnalazione.
Una squadra investigativa che lavorano per conto di pagamento con carta di reti è ancora esaminando l’hack, separatamente da Marriott squadra e CI autorità.
Rispondere alle domande del sottocomitato del Senato, Sorenson anche affrontato una dichiarazione fatta dal Segretario di Stato americano Mike Pompeo lo scorso anno, durante un’intervista su “Fox & Friends”, dove il funzionario della Casa Bianca ha incolpato l’hack di stato Cinese hacker.
“La risposta breve è che non conosco”, Sorenson ha detto quando gli viene chiesto Pompeo osservazioni. “Mi sento molto inadeguata anche inferenza dalle informazioni che abbiamo ottenuto.”
Una registrazione di Sorenson testimonianza è disponibile qui.
Nel corso della stessa udienza, Equifax nuovo CEO Mark Begor è stato anche intervistato a proposito della sua azienda 2017 hack. Egli non rivelare nuove informazioni, come Equifax funzionari sono stati di fronte a commissioni del Senato per più di un anno, e i dettagli che circondano il 2017 hack sono già noti.
In precedenza abbiamo pubblicato un articolo sulla Equifax hack post-mortem qui, se gli utenti sono interessati a scoprire come la società è stata compromessa.
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati