Marriott vittima di attacco hacker: rubati i dati di 500 milioni di clienti

La scorsa settimana la catena di hotel Marriott International ha comunicato pubblicamente di essere stata vittima di una violazione dei propri sistemi informatici che ha interessato circa 500 milioni di utenti, con il furto di informazioni tra cui nomi, numeri di carte di credito, indirizzi email, indirizzi di residenza e numeri di passaporto.

La violazione pare trarre origine da una falla di sicurezza presente nei sistemi di Starwood Hotels già dal 2014 e che nel 2016, quando Marriott ha acquisito Starwood, è passata inosservata nelle operazioni di fusione delle infrastrutture.

Marriott ha confermato il verificarsi di un accesso non autorizzato al database delle prenotazioni di Starwood avvenuto lo scorso 19 novembre e che ha permesso di trafugare informazioni risalenti fino al 10 settembre 2018. Gli hacker hanno copiato informazioni criptate dal database di Starwood, che Marriott ha in seguito confermato riguardare i dati di contatto di circa 500 milioni di clienti, e per un sottoinsieme di 327 milioni anche una combinazione eterogenea di nomi, indirizzi email, numeri di telefono, indirizzi di posta, numeri di passaporto, informazioni sull'account Starwood Preferred Guest, date di nascita, informazioni di arrvo e partenza, date di prenotazione e preferenze di comunicazione. Anche i numeri di carte di credito sono stati sottratti e, sebbene i numeri fossero criptati con standard AES-128 bit, Marriott afferma di non poter escludere che gli hacker siano stati in grado di rubare anche le chiavi per decifrare le informazioni criptate.

La società di sicurezza Kaspersky Labs ha rilasciato una commento sull'accaduto: "Fin ad oggi questo può essere considerato uno dei più grandi data breach della storia. Non solo la mole di dati trafugati è enorme, ma la tipologia di dati personali coinvolti rappresenta un database di dati estremamente privati di milioni di persone; in alcuni casi sono stati coinvolti persino i dati delle carte di credito. Questo apre la possibilità che ulteriori minacce possano verificarsi, da attacchi di spear-phishing al cyber spionaggio. Un incidente di tale portata potrebbe rappresentare un punto di svolta nell’adozione di policy per la privacy e di più attente abitudini personali circa i dati che condividiamo. I clienti coinvolti dalla vicenda riceveranno un avviso, ma è preferibile che chi sospetta di essere stato vittima dell’attacco verifichi autonomamente con il Gruppo Marriott. Inoltre, consigliamo agli utenti di stare molto attenti ai tentativi di scamming che potrebbero cogliere l’occasione di quanto accaduto fingendosi il Gruppo Marriott. Il nostro consiglio è di cambiare password e usare carte di credito virtuali invece di quello fisiche per i pagamenti online”

"Siamo profondamente amareggiati per l'incidente. Non abbiamo rispettato gli standard che i nostri clienti meritano e quelli che noi stessi ci aspettiamo da noi. Stiamo facendo tutto ciò che possiamo per dare supporto ai nostri ospiti e imparare da questa lezione per meglio operare in futuro" ha affermato Arne Sorenson, Presidente e CEO di Marriott in un comunicato ufficiale. Il gruppo Starwood, come già detto di proprietà di Marriott International, controlla a sua volta i brand W Hotel, St. Regist, Sheraton Hotels & Resorts e Westin Hotels & Resorts.

Allo stato attuale delle cose non è chiaro se l'azione sia stata intrapresa da criminali intenzionati a raccogliere informazioni per furto d'identità o se si trattasse di spie governative al lavoro per intercettare informazioni sui viaggiatori, tra cui possibili diplomatici o ufficiali di intelligence che viaggiano per il mondo.

OneSpan (precedentemente nota come VASCO Data Security International) ha invece sottolineato quale potrebbe essere la destinazione d'uso dei dati sottratti, qualora si trattasse di un'azione criminale: "L'impatto sulle vittime è molto maggiore di quanto i numeri rivelino. Da parte delle organizzazioni di hacker, questa potrebbe essere una tendenza emergente per puntare ad ampie quantità di dati di passaporti. Sul dark web i passaporti rubati sono molto più redditizi delle carte di credito. L’ampia riserva di dati identificativi personali sul Dark Web continua a crescere a tassi storici e i truffatori dispongono di ricche risorse con cui rubare identità o creare nuove molto verosimili utilizzando una combinazione di informazioni reali e fasulle o informazioni completamente fittizie. Ad esempio, i dati personali ottenuti in una violazione potrebbero essere incrociati con quelli provenienti da altre violazioni ampiamente pubblicizzate che hanno colpito il settore privato, e l’attacco subito da Marriott rende molto più facile il compito dei truffatori e ne aumenta le probabilità di successo. Avere i database nello stesso posto rende le cose ancora più semplici per i criminali.Gli attacchi informatici come quello ai danni di Marriott continueranno e le organizzazioni pubbliche e private devono non solo implementare le più recenti tecnologie di autenticazione e di rilevamento delle frodi risk-based, ma anche assicurarsi che tutti i partner di terze parti adottino analoghe misure di sicurezza".