Marriott International, CEO Arne Sorenson getuigde in de voorkant van een AMERIKAANSE Senaat subcommissie gisteren, onthult nieuwe details over een inbreuk op de beveiliging van de hotel keten bekend gemaakt vorig jaar.
Spreken in het bijzijn van de senaatscommissie voor Binnenlandse Veiligheid & Governmental Affairs Permanent Subcommittee on Investigations, Sorenson en verontschuldigde zich voor de klanten van het bedrijf, maar ook neergeschoten geruchten dat China achter de hack.
Volgens een voorbereide verklaring voor zijn getuigenis, Sorenson zei dat de eerste keer toen Marriott geleerd dat er iets mis was op 8 September vorig jaar, toen ze werden benaderd door Accenture, HET bedrijf dat is het beheer van de Starwood gast reservering database.
Marriott eerder had verkregen van de Starwood-keten hotels in September 2016 en was bezig met een plan om te migreren zijn klanten om zijn eigen gast reservering systeem, maar in die tijd, de Starwood-systeem was nog steeds apart van de rest van de Marriott-netwerk.
Maar op 8 September Accenture vertelde Marriott ‘ s van HET personeel dat één van hun security producten, een database genaamd monitoring systeem IBM Guardium, ontdekt had een anomalie op de Starwood gast reservering database een dag eerder, op 7 September.
“De Guardium alert werd veroorzaakt door een query van een beheerder’ s account te retourneren en de graaf van rijen uit een tabel in de database,” Sorenson zei.
Een dergelijke query ‘ s als gevaarlijk worden beschouwd omdat de software die draait op een database is meestal niet nodig om ze te maken. Dit betekende dat een menselijke operator was het maken van dit soort zeer specifieke query met de hand.
“Als onderdeel van ons onderzoek naar de melding, we hebben geleerd dat de persoon van wie de geloofsbrieven werden gebruikt waren niet echt gemaakt en de query,” Sorenson zei.
Op dat punt, het Marriott medewerkers realiseerden zich dat ze te maken hadden met een vermoedelijke overtreding, hoewel ze wist niet of het was iets groots of slechts het begin van een hack die kan heel gemakkelijk worden opgenomen voordat de aanvallers toegang van alle gebruikers data.
Het bedrijf zei dat het gebracht in derde-partij forensische rechercheurs op 10 September om haar te helpen HET personeel kijken naar een mogelijke overtreding. De forensische firma ‘ s graaien ontdekt malware op de Starwood IT-systemen minder dan een week later.
“De onderzoekers ontdekt een Remote Access Trojan (RAT’), een vorm van malware waarmee een aanvaller om heimelijk toegang, surveil, en zelfs de controle krijgen over een computer. Ik kreeg een melding van het lopende onderzoek naar die dag, en onze Raad van bestuur op de hoogte was gebracht van de volgende dag,” de CEO zei.
Het blootleggen van de volledige reikwijdte van de aanval nam veel forensisch werk, de CEO zei. Echter, ondanks de RAT ‘s aanwezigheid op de Starwood HET systeem, op dat punt was er geen bewijs dat onbevoegde partijen had geraadpleegd gegevens van de klant, gelegen in Starwood’ s guest reservering database.
Maar het onderzoek niet te stoppen. Door de volgende maand, in oktober, de forensische bedrijf ook gevonden Mimikatz, een penetratie-hulpprogramma voor het testen gebruikt door zowel beveiligingsonderzoekers en hackers gelijk dat wordt gezocht naar een apparaat het geheugen voor gebruikersnamen en wachtwoorden. De tool werd waarschijnlijk gebruikt om te helpen de hackers het verwerven van wachtwoorden voor andere Starwood systemen en helpen ze te verplaatsen naar andere delen van het IT-netwerk.
Nogmaals, de onderzoekers niet vinden aanwijzingen dat hackers hadden toegang klantgegevens.
De hack veranderd van “waarschijnlijk slecht” tot “slecht” de volgende maand, in November, toen de onderzoekers vonden dat de hackers actief geweest op Starwood is HET netwerk sinds juli 2014, lang voordat Marriott ‘ s van de overname.
Dit betekende dat hackers hadden die meer dan twee jaar zonder gedetecteerd, en heeft het hele onderzoek veel moeilijker, als de forensische bedrijf nu moesten graven door jaren van logs.
Maar weer was er nog steeds geen bewijs dat hackers toegang krijgen tot klantgegevens.
Maar de onvermijdelijke uiteindelijk gebeurd, en het gebeurde in het midden van November. Het uittreksel uit Sorenson de voorbereide instructie over hoe en wanneer ze besefte dat hackers gestolen had Starwood klant gegevens hieronder:
Op 13 November onze onderzoekers ontdekten bewijs dat twee gecomprimeerd, versleuteld bestanden waren verwijderd van een apparaat dat ze het onderzoeken. De bestanden zijn gecodeerd en de werkelijke inhoud was onbekend. Er was ook bewijs om te suggereren dat die twee bestanden had mogelijk verwijderd van de Starwood-netwerk. Zes dagen later, op 19 November 2018, de onderzoekers waren in staat om de bestanden te decoderen, en vond die ene bevatte een export van een tabel van de Starwood Gast Reservering Database met data van de gast, terwijl de andere bevatte een export van een tabel die de gegevens van het paspoort.
Op dit punt, het schrijven was over de muur, en het was geschreven in neon lampjes knipperen. Hackers hadden geschonden Starwood ‘ s HET netwerk en had gestolen gegevens van de klant vanuit de reservering database.
Wat volgde is nu al zeer goed gedocumenteerd. De hotelketen aangemelde instanties en ging het publiek met de gegevens die inbreuk openbaarmaking op November 30, het onthullen van een inbreuk die van invloed zijn geweest op ongeveer 500 miljoen klanten, schending statistieken die het bedrijf later bijgewerkt in januari 2019, en weer in Maart.
Volgens Sorenson de voorbereide instructie en een update over de Starwood breach notification website, deze zijn de laatste statistieken rond het Marriott inbreuk:
383 miljoen gast records18.5 miljoen gecodeerde paspoort numbers5.25 miljoen niet-versleutelde paspoort nummers (663,000 uit de VS)9,1 miljoen versleutelde betaling kaart numbers385,000-kaart nummers die nog geldig is op het moment van de overtreding
Het Marriott CEO zei nogmaals dat de onderzoeks-inspanningen hebben nog te ontdekken bewijs om te suggereren dat hackers toegang gekregen tot de encryptiesleutel gebruikt voor het coderen van de payment card nummers, wat betekent dat de meeste van de besmette betaling-kaart nummers zijn nog steeds nutteloos voor de aanvallers.
Bovendien, de totale score van 383 miljoen beïnvloed gasten van het hotel is waarschijnlijk nog kleiner.
“[I]n veel gevallen blijken er meerdere gegevens voor dezelfde gast, maar vanwege de aard van de gegevens, verdere duplicatie eenvoudig kan worden uitgevoerd,” Sorenson zei. “We niet met zekerheid kunnen bepalen of records met vergelijkbare namen, of zelfs identieke namen met verschillende adressen, het vertegenwoordigen van één persoon of meerdere personen, maar we hebben afgesloten met een redelijke mate van zekerheid dat de informatie voor minder dan 383 miljoen unieke gasten bij betrokken was.”
Sorenson zei dat de openbaarmaking van de overtreding was ook een enorme inspanning en de betrokken kennisgeving aan de FBI, alle AMERIKAANSE Procureurs-Generaal, de FTC, de SEC, de toezichthouder in 20 verschillende landen, vier grote payment card netwerken en hun credit card processing leveranciers, en drie AMERIKAANSE credit rapportage agentschappen.
Een onderzoeksteam werkt namens creditcard netwerken is nog steeds op zoek naar de hack, apart van het Marriott ‘ s team en de AMERIKAANSE overheid.
Beantwoorden van vragen van de Senaat subcommissie, Sorenson ook gericht op een verklaring van de AMERIKAANSE Minister van buitenlandse Mike Pompeo vorig jaar tijdens een interview op de “Fox & Friends” waar het Witte Huis is de officiële schuld van de hack op de Chinese staat hackers.
“Het korte antwoord is: we weten het niet,” Sorenson zei toen hem gevraagd werd over Pompeo ‘ s opmerkingen. “Ik ben zeer onvoldoende over zelfs het tekenen van de conclusies van de informatie die wij hebben verkregen.”
Een opname van Sorenson ‘ s getuigenis is hier beschikbaar.
Tijdens dezelfde zitting, Equifax ‘ s nieuwe CEO Mark Begor werd ook geïnterviewd over zijn bedrijf 2017 hack. Hij vond het niet openbaar maken van nieuwe informatie, Equifax ambtenaren zijn in de voorkant van de commissies van de Senaat voor meer dan een jaar nu en de details rondom de 2017 hack zijn al bekend.
We hebben eerder een artikel gepubliceerd over de Equifax hack post-mortem hier, als gebruikers geïnteresseerd zijn in het vinden van hoe het bedrijf was ingebroken.
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters