Marriott vittima di attacco hacker: rubati i dati di 500 milioni di clienti

Marriott vittima di attacco hacker: rubati i dati di 500 milioni di clienti

La catena alberghiera vittima di un attacco, originatosi da una falla presente già dal 2014. Oltre ai dati come numeri di telefono ed indirizzi, trafugati anche i numeri delle carte di credito

di pubblicata il , alle 15:41 nel canale Sicurezza
 

La scorsa settimana la catena di hotel Marriott International ha comunicato pubblicamente di essere stata vittima di una violazione dei propri sistemi informatici che ha interessato circa 500 milioni di utenti, con il furto di informazioni tra cui nomi, numeri di carte di credito, indirizzi email, indirizzi di residenza e numeri di passaporto.

La violazione pare trarre origine da una falla di sicurezza presente nei sistemi di Starwood Hotels già dal 2014 e che nel 2016, quando Marriott ha acquisito Starwood, è passata inosservata nelle operazioni di fusione delle infrastrutture.

Marriott ha confermato il verificarsi di un accesso non autorizzato al database delle prenotazioni di Starwood avvenuto lo scorso 19 novembre e che ha permesso di trafugare informazioni risalenti fino al 10 settembre 2018. Gli hacker hanno copiato informazioni criptate dal database di Starwood, che Marriott ha in seguito confermato riguardare i dati di contatto di circa 500 milioni di clienti, e per un sottoinsieme di 327 milioni anche una combinazione eterogenea di nomi, indirizzi email, numeri di telefono, indirizzi di posta, numeri di passaporto, informazioni sull'account Starwood Preferred Guest, date di nascita, informazioni di arrvo e partenza, date di prenotazione e preferenze di comunicazione. Anche i numeri di carte di credito sono stati sottratti e, sebbene i numeri fossero criptati con standard AES-128 bit, Marriott afferma di non poter escludere che gli hacker siano stati in grado di rubare anche le chiavi per decifrare le informazioni criptate.

La società di sicurezza Kaspersky Labs ha rilasciato una commento sull'accaduto: "Fin ad oggi questo può essere considerato uno dei più grandi data breach della storia. Non solo la mole di dati trafugati è enorme, ma la tipologia di dati personali coinvolti rappresenta un database di dati estremamente privati di milioni di persone; in alcuni casi sono stati coinvolti persino i dati delle carte di credito. Questo apre la possibilità che ulteriori minacce possano verificarsi, da attacchi di spear-phishing al cyber spionaggio. Un incidente di tale portata potrebbe rappresentare un punto di svolta nell’adozione di policy per la privacy e di più attente abitudini personali circa i dati che condividiamo. I clienti coinvolti dalla vicenda riceveranno un avviso, ma è preferibile che chi sospetta di essere stato vittima dell’attacco verifichi autonomamente con il Gruppo Marriott. Inoltre, consigliamo agli utenti di stare molto attenti ai tentativi di scamming che potrebbero cogliere l’occasione di quanto accaduto fingendosi il Gruppo Marriott. Il nostro consiglio è di cambiare password e usare carte di credito virtuali invece di quello fisiche per i pagamenti online”

"Siamo profondamente amareggiati per l'incidente. Non abbiamo rispettato gli standard che i nostri clienti meritano e quelli che noi stessi ci aspettiamo da noi. Stiamo facendo tutto ciò che possiamo per dare supporto ai nostri ospiti e imparare da questa lezione per meglio operare in futuro" ha affermato Arne Sorenson, Presidente e CEO di Marriott in un comunicato ufficiale. Il gruppo Starwood, come già detto di proprietà di Marriott International, controlla a sua volta i brand W Hotel, St. Regist, Sheraton Hotels & Resorts e Westin Hotels & Resorts.

Allo stato attuale delle cose non è chiaro se l'azione sia stata intrapresa da criminali intenzionati a raccogliere informazioni per furto d'identità o se si trattasse di spie governative al lavoro per intercettare informazioni sui viaggiatori, tra cui possibili diplomatici o ufficiali di intelligence che viaggiano per il mondo.

OneSpan (precedentemente nota come VASCO Data Security International) ha invece sottolineato quale potrebbe essere la destinazione d'uso dei dati sottratti, qualora si trattasse di un'azione criminale: "L'impatto sulle vittime è molto maggiore di quanto i numeri rivelino. Da parte delle organizzazioni di hacker, questa potrebbe essere una tendenza emergente per puntare ad ampie quantità di dati di passaporti. Sul dark web i passaporti rubati sono molto più redditizi delle carte di credito. L’ampia riserva di dati identificativi personali sul Dark Web continua a crescere a tassi storici e i truffatori dispongono di ricche risorse con cui rubare identità o creare nuove molto verosimili utilizzando una combinazione di informazioni reali e fasulle o informazioni completamente fittizie. Ad esempio, i dati personali ottenuti in una violazione potrebbero essere incrociati con quelli provenienti da altre violazioni ampiamente pubblicizzate che hanno colpito il settore privato, e l’attacco subito da Marriott rende molto più facile il compito dei truffatori e ne aumenta le probabilità di successo. Avere i database nello stesso posto rende le cose ancora più semplici per i criminali.Gli attacchi informatici come quello ai danni di Marriott continueranno e le organizzazioni pubbliche e private devono non solo implementare le più recenti tecnologie di autenticazione e di rilevamento delle frodi risk-based, ma anche assicurarsi che tutti i partner di terze parti adottino analoghe misure di sicurezza".

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

8 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
CYRANO03 Dicembre 2018, 15:47 #1
Boh mai sentita, meno male vuol dire che non faccio parte di quel mezzo miliardo



Còmsò,òmsòmsmòs
Ork03 Dicembre 2018, 16:40 #2
Originariamente inviato da: CYRANO
Boh mai sentita, meno male vuol dire che non faccio parte di quel mezzo miliardo



Còmsò,òmsòmsmòs


mai sentita una delle catene alberghiere più importanti e lussuose al mondo?
Sandro kensan03 Dicembre 2018, 17:24 #3
Sheraton?
Dumah Brazorf03 Dicembre 2018, 19:03 #4
Quello che vende materassi sul canale 5?
the_joe03 Dicembre 2018, 19:13 #5
Una sola domanda, ma che ci facevano i numeri di carta di credito nel database degli Hotel?
tallines03 Dicembre 2018, 19:18 #6
Originariamente inviato da: the_joe
Una sola domanda, ma che ci facevano i numeri di carta di credito nel database degli Hotel?

Se paghi con carta di credito............comunque male, anzi malissimo.............
the_joe03 Dicembre 2018, 19:44 #7
Originariamente inviato da: tallines
Se paghi con carta di credito............comunque male, anzi malissimo.............


Direi......
giovanni6903 Dicembre 2018, 19:50 #8
Quand'è che poi leggeremo il licenziamento di qualcuno di Marriott e qualcuno dei dirigenti sotto processo (Bruce Hoffmeister è il Global Chief Information Officer) per incompetenza professionale?
Adesso tirano fuori lo scenario delle spie governative per pararsi il ...

..quando è più probabile che è più facile che qualcuno dall'interno abbia aperto le porte..

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^