Marriott brud: Starwood ‘ s hacker-tier belønninger millioner af kundeoplysninger

0
103

Nul

Det er nok så god en tid som enhver til at nævne, at en frigivelse af store brud meddelelser om fredagen er en slidt trope af dette punkt. Det gjorde ikke stoppe Marriott fra annoncerer en overtrædelse af Starwood ‘ s reservationssystem, som påvirker 500 millioner mennesker til kick off denne fredag med et brag.

En Anden Fredag Andet Brud Meddelelse

Hvis du ikke var planer om at dele fire år af din rejse-historie, personlige oplysninger, og pasnummer med en navnløse og ansigtsløse angriber et eller andet sted i verden, denne morgen, så fortvivl ikke: Marriott og Starwood tog sig af det for dig. Marriott meddelte, at det afdækket fire-plus år af en hidtil ukendt, uventede, og uautoriserede deling af data program, der omfatter rejser detaljer, pasnummer, og kredit kort data. Omkring 500 millioner af os (mindst tre af denne blogs forfattere i prisen) fandt ud af her til morgen, da Marriott annonceret en flerårige strid dating tilbage til 2014. Hvis det ikke var slemt nok, fremgår det, at Starwood havde en chokerende ringe grad af database og netværk, sikkerhed, som gjorde det muligt for angribere at fange navne, adresser, fødselsdato, pasnummer, kommunikation præferencer, ankomst og afgang, og så meget mere. Detaljerne er vigtige, men for at opsummere meddelelse: angriberne fik alt, hvad de ønskede.

Marriott har meddelt, at alle de sædvanlige forventes trin. Det undskyldte, lovede os, der bekymrer sig om sikkerhed, hvis en hjemmeside og dial-in-nummer, og der tilbydes også kredit overvågning. Dette er en trøst for dem af os, der har kredit overvågning fra vores arbejdsgivere, og den anden… 15 eller brud, så vi har været en del af. På dette tidspunkt, de fleste af os kan overvåge vores kredit-skærme for at se, hvor lang tid det tager for ændringer for at udbrede mellem hver med antallet af overtrædelser, vi har været en del af.

Også: it-kriminalitet og cyberwar: En spotter ‘ s guide til de grupper, der er ude på at få dig |Gratis PDF download: En Vindende Strategi for Cybersikkerhed | Forskning: Medarbejder overholdes, er den største udfordring at gennemføre cybersecurity strategi

Cybersecurity M&A Due Diligence Stikker Sit Grimme Hoved

Tale af Starwood erhvervelse af Marriott, kan vi ikke kender den interne oplysninger om due diligence-processen, men hvis der er nogen cybersecurity due diligence opstod, er det enten ikke virker eller blev ignoreret. På tidspunktet for overtagelsen, ville en hacker har været bosiddende i Starwood ‘ s netværk for to år uden at blive opdaget. Men noget mere om end dette spørgsmål findes her. Sikker på, at angriberen var blevet overset, men de bedre spørgsmål til aktionærer af Marriott at spørge: Var det forfærdende grad af database og netværk sikkerhed glip af? Gjorde Marriott vide, — eller forsøger at finde ud af — at Starwood ‘ s netværk og database sikkerhedskontrol, processer og styring angreb som dette muligt over en længere periode? Gjorde det ved, at en hacker kan få adgang til reservationssystemet i første omgang — hvor “kronjuvelerne” ville naturligvis være — og efter at have fået adgang til, at kunne overvinde næsten hver bit af kundens data, der holdt det, og bo der i flere år uden at blive opdaget?

Det niveau af modenhed af den sikkerhed, organisation, huller i processer og problemer med sikkerhed teknologier, der gik glip af disse arrangementer skal være en del af en due diligence-processen, så spørgsmålet bliver: Var de bemærket eller ignoreret? Den strategiske betydning af M&A-aktivitet betyder, cybersecurity kunne ikke standse det, men det kan bestemt sænke prisen og skabe arbitrage og risiko for overførsel muligheder, som set med Verizon ‘s’ overtagelse af Yahoo, når dens data overtrædelsen blev opdaget.

Overvågning Og Data Økonomi Problem

Når virksomheder indsamle massive mængder af data i navn på kunde oplevelsen, må de også acceptere, at forpligtelsen og ansvaret for at beskytte disse data. I dette tilfælde, Starwood — og Marriott ved overtagelse — slået gevaldigt fejl i dette ansvar. Forhåbentlig GDPR vil bringe retributive justice hammer ned på dem og præcis hævn for den forurettede — men ikke ansvarlige for og magtesløse ofre-men det gør ikke tingene nemmere for dem, hvis data blev fanget i den strid. Overvej følgende:

Travelers’ data er nu i hænderne på mindst et sæt af angribere, måske mere. Dine vaner, omgivelser, ofte besøgte områder, foretrukne ankomsttider og meget mere er nu derude uden dit samtykke. Fire-plus års rejser data på 500 millioner mennesker er en massiv data for en ond data videnskabsmand til at bruge til at profilere mennesker. Virksomheder, der er involveret i følsomme sektorer, der har øget det fysiske og sikkerhedsmæssige risici, der vil være nødt til at vurdere, hvordan det påvirker dem. De gjorde brug for at ændre rejser vaner eller har planer om centrale personer, der kan være fanget i dette brud.Der er nationale sikkerhedsmæssige konsekvenser på grund af pas-numre og andre informationer. Dette brud har større nation-state niveau konsekvenser i betragtning af den mængde og type af data tilgås af angribere. Enhver tid pas-data er en del af et kompromis, skal du faktor i de potentielle konsekvenser. Ressourcer på forskellige agenturer i hele verden vil nu nødt til at vente på at modtage nærmere oplysninger om, hvilke oplysninger, der blev indsamlet af angribere, og hvordan denne information kunne bringe eksisterende aktiviteter eller aktiver. Yderligere, efterretningstjenester verden over har nu adgang til en guldgrube af oplysninger om rejsende fra modstanderen nationer, der kan bruges til deres aktiviteter.Det er fint at købe denne data, bare ikke stjæle det. Uautoriserede deling af data gør, at virksomheder, der sælger data ulykkelig. Men det fine print af apps og kampagner systemer, vi underskrive op for at tvinge de fleste af os til at samtykke til indsamling og deling af disse data. Mens GDPR og andre forordninger, der søger at give forbrugerne med opt-out, og retten til at blive glemt, ikke alle fordele fra disse beskyttelser. I dette tilfælde angribere opnået kundens data uden Marriott eller Starwood ‘ s samtykke eller viden, der rejser et vigtigt spørgsmål: hvad hvis Marriott formål at kommercialisere disse data? I betragtning af at de fleste af de virksomheder, vi arbejder med i dag at gøre netop det, ville det betyde tab af en massiv indtjening lejlighed. Med andre ord, dette er ikke blot en historie om den slags data stjålet, det handler om det faktum, at angriberne ikke at gå gennem de rigtige kanaler til at få det.

Brand Lektion: Det Største Mærke Altid Bliver Blodig I En Overtrædelse

Læg mærke til, hvordan hele denne blog, medier og sociale medier, der taler om dette brud nævne, Marriott, langt mere end Starwood. For at være fair, dette brud skete, at Starwood, ikke Marriott. I virkeligheden, hvis du kun opholdt sig på Marriott egenskaber, du er upåvirket. Men der er en lektie til alle mærker derude. Uanset om det er en erhvervelse, fusion, eller blot et datterselskab, den største brand vil altid får mest opmærksomhed, når en overtrædelse er annonceret. Alle af momentum og energi, dit brand, der er kommer ud på et sidespor, når en brud opstår, — selv hvis det ikke ske for dig. Collateral damage er reel, udstillet af Marriott at få skylden for Starwood ‘ s fejltagelser godt før overtagelsen. Nogle andre vigtige lektioner følger:

Cybersecurity Due Diligence: Betaler for Tidligt eller Betale Ofte

Til Marriott, som den pris, der betales for Starwood gik bare vej, vejen op. Juridiske spørgsmål, reguleringsmæssige problemer på grund af GDPR (og mere), brud undersøgelse og underretning, service, oprydning handlinger, og public relations omkostninger gik bare eksploderet og vi gætter de var uventede omkostninger til Marriott ‘ s bundlinje for dette år. Vi har ofte nævne, at overtrædelser har en lang hale, og i dette tilfælde prisen Marriott betalt for Starwood er langt højere, end hvad det oprindeligt lovede aktionærer på grund af opdagelsen af denne hændelse. Den lektie til alle, her er to-fold: cybersecurity due diligence i M&A er afgørende, og ikke betale for det på det tidspunkt vil gøre alt langt dyrere senere.

TechRepublic: Hvorfor cybersecurity er det hurtigst voksende marked for forsikringer til små og mellemstore virksomheder | Cybersecurity forsikring: Hvad skal du se efter, når man sammenligner politikker | DHS primer på cybersecurity

Phishing Er Lige Blevet Lettere For Fjernangribere

Mængden og typen af data, der opnås ved angriberne vil gøre andre kompromiser nemmere så godt. Hvis jeg ved, hvor du rejser, hvor ofte, hvem man rejser med, og hvor længe du var der, så min phishing, spearphishing, og social engineering-angreb er lige blevet en hel del mere vellykket. Du kan ikke åbne en e-mail fra nogen, du ikke kender, men hvad med en e-mail fra hotellets manager, der takker dig for at bo på et bestemt hotel et par gange i det forløbne år, og en kupon, der er knyttet? Dette er en idé, vi kom op med i to minutter, og vi ikke gør det hver dag, som angribere gør, så forestil dig, hvad de vil fremmane, at du vil klikke på. En overtrædelse fører til en anden…

GDPR Er Nu Det Første, Virksomheder Tænker Om Efter Et Brud