Marriott International VD Arne Sörenson vittnade framför en AMERIKANSKA Senatens underutskott igår, avslöjar nya detaljer om en säkerhetsöverträdelse hotellkedjan lämnas ut förra året.
Tala inför Senatens Utskott för inrikes Säkerhet & Statliga Angelägenheter Permanent Underutskottet för Undersökningar, Sorenson ursäkt till företagets kunder men även sköt ner rykten om att Kina låg bakom hacket.
Enligt ett förberett uttalande för hans vittnesbörd, Sörenson säger att den första tiden när Marriott lärt sig att något kan vara fel var den 8 September förra året, när de blev kontaktade av Accenture, DET företag som förvaltar Starwood gäst reservation databas.
Marriott hade tidigare förvärvade Starwood hotels-kedjan i September 2016 och arbetar på en plan att flytta sina kunder till den egna gäst bokningssystem, men på den tiden, Starwood systemet fortfarande var separat från resten av Marriott nätverk.
Men på September 8, Accenture berättade Marriott är DET personalen som en av sina säkerhetsprodukter, en databas för övervakning av system som kallas IBM Guardium, hade upptäckt ett fel på Starwood gäst reservation databas en dag tidigare, den 7 September.
“Guardium larm utlöstes av en fråga från en administratörs konto för att återgå räkna rader från en tabell i databasen,” Sörenson sagt.
Sådana frågor betraktas som farlig eftersom den programvara som körs på toppen av en databas brukar inte behöver göra dem. Detta innebar att en mänsklig operatör var att göra denna typ av väldigt specifika fråga efter hand.
“Som en del av vår undersökning av larm, vi lärde oss att den person vars meriter användes hade faktiskt inte gjort frågan,” Sörenson sagt.
Vid denna punkt, Marriott personalen insåg att de hade att göra med en trolig brott, även om de inte visste om det var något stort eller bara början av ett hack som kan vara mycket lätt innehöll innan angriparna åt alla användardata.
Företaget sa att det förs in från tredje part rättsmedicinska utredare på September 10, för att hjälpa sina IT-personal att undersöka en eventuell överträdelse. Den rättsmedicinska företagets letar upptäckt skadlig kod på Starwood IT-system för mindre än en vecka senare.
“Utredarna har avslöjat ett Remote Access-Trojaner (‘RAT’), en form av skadlig kod som gör det möjligt för en angripare att i hemlighet tillgång, surveil, och även få kontroll över en dator. Jag har anmält till den pågående utredningen som dag, och vår Styrelse var anmälda följande dag,” sade VD.
Att avslöja den fulla omfattningen av attacken ägde betydande kriminaltekniska arbetet, VD sade. Men trots RÅTTA närvaro på Starwood IT-system, vid den tidpunkten, det fanns inga bevis för att obehöriga hade tittat på kunddata ligger i Starwood ‘ s guest reservation databas.
Men undersökningen inte sluta. Av nästa månad, i oktober, den kriminaltekniska fast fann också Mimikatz, en penetration testing verktyg som används av både säkerhet forskare och hackare såväl som söker en enhet minne för användarnamn och lösenord. Verktyget var mest sannolikt som används för att hjälpa hackare skaffa lösenord för andra Starwood system och att hjälpa dem att flytta till andra delar av IT-nätverket.
Ännu en gång, utredare inte hitta bevis för att hackare hade tittat på kundens data.
Hacka förvandlats från “troligen dåligt” till “dåligt” nästa månad, i November, när utredarna fann att hackare hade varit aktiv på Starwood är DET nätet sedan juli 2014, långt innan Marriott ‘ s förvärv.
Detta innebar att hackare hade drivs mer än två år utan att bli upptäckt, och gjorde hela undersökningen mycket svårare, som de rättsmedicinska fast nu var tvungen att gräva sig igenom år av stockar.
Ännu en gång, det var ändå inget som tyder på att hackare åtkomst till kunddata.
Men så småningom oundvikliga hänt, och det som hände i mitten av November. Utdrag från Sorenson är förberett uttalande om hur och när de insåg att hackare stulit Starwood kunduppgifter nedan:
November 13, våra utredare upptäckt bevis för att två komprimerade och krypterade filer hade raderats från en enhet som de prövar. Filerna krypteras och det faktiska innehållet var okänd. Det fanns också tecken som tyder på att de två filer som eventuellt hade tagits bort från Starwood nätverk. Sex dagar senare, den 19 November, 2018, utredare kunde dekryptera filerna, och fann att den innehöll en export av en tabell från Starwood Gäst Reservation Databas som innehåller gäst data, medan den andra innehöll en export av en tabell som innehar pass information.
Vid denna punkt, skrivandet var på väggen, och det var skrivet i neon blinkande lampor. Hackare hade brutit mot Starwood IT-nätverk och hade stulit kunden information från sin gäst reservation databas.
Vad som följde är redan nu mycket väl dokumenterad. Hotellkedjan anmälda myndigheter och gick ut offentligt med sin dataintrång offentliggörande den 30 November, avslöjar en överträdelse som påverkade cirka 500 miljoner kunder, brott statistik som företaget senare uppdateras i januari 2019, och igen i Mars.
Enligt Sörenson är förberett uttalande och en uppdatering på Starwood att anmäla överträdelser av webbplatsen, detta är den senaste statistik kring Marriott brott:
383 miljoner gäst records18.5 miljoner krypterad pass numbers5.25 miljoner okrypterade pass nummer (663,000 från USA)9,1 miljoner krypterad betalning kort numbers385,000 kortnummer som fortfarande var giltigt vid tidpunkten för brottet
Marriott VD säger igen att utredningsinsatser har ännu inte avslöja bevis som tyder på att hackare har fått tillgång till den krypteringsnyckel som används för att kryptera kreditkortsnummer, vilket innebär att de flesta av de infekterade kreditkortsnummer är fortfarande värdelös för angripare.
Dessutom får det totala sammanställning av 383 miljoner euro negativt hotellets gäster är sannolikt ännu mindre.
“[I]n många fall, det verkar vara flera poster för samma gäst, men på grund av den typ av data, ytterligare de-duplicering inte lätt utföras,” Sörenson sagt. “Vi kan inte säkert avgöra om poster med liknande namn, eller till och med identiska namn med olika adresser, representerar en person eller flera personer, men vi har ingåtts med en rimlig grad av säkerhet som information för färre än 383 miljoner unika gästerna var inblandade.”
Sörenson säger att avslöja brott var också en massiv insats och deltar anmälande FBI, alla OSS delstatsåklagare, federal trade commission, SEC, tillsynsmyndigheter i 20 olika länder, fyra stora betalkort nätverk och deras kreditkort leverantörer, och tre AMERIKANSKA kreditupplysningsföretag.
Ett undersökande team arbetar på uppdrag av betalkort nät är fortfarande tittar in hacka, separat från Marriott ‘ s team och de AMERIKANSKA myndigheterna.
Svara på frågor från Senatens underutskott, Sorenson också upp ett uttalande av USA: s Utrikesminister Mike Pompeo förra året i samband med en intervju på “Fox & Friends”, där den Vita Husets officiella skyllde hacka på Kinesiska hackare.
“Det korta svaret är att vi inte vet,” Sörenson sa när frågan om Pompeo kommentarer. “Jag känner mig ganska bristfällig om ens dra slutsatser av den information som vi har fått.”
En inspelning av Sorenson vittnesbörd är tillgängliga här.
Under samma hörsel, Equifax är ny VD Mark Begor var också intervjuad om sin bolagets 2017 hack. Han ville inte lämna ut någon ny information, som Equifax tjänstemän har varit på framsidan av Senatens utskott för mer än ett år nu och detaljer kring 2017 hack är redan känt.
Vi har tidigare publicerat en artikel om Equifax hacka post-mortem här, om användarna är intresserade av att ta reda på hur företaget skulle äventyras.
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter