Shkelja e të dhënave Marriott: Pasaportat nuk janë të koduara

Marriott sot tha se ekipet e ekspertëve mjeko-ligjorë dhe analistë të të dhënave kishin identifikuar "afërsisht 383 milion rekorde si kufiri i sipërm" për numrin e përgjithshëm të rekordeve të rezervimeve të mysafirëve të humbur. Kompania ende thotë se nuk ka ide se kush e kreu sulmin dhe sugjeroi që shifra do të bjerë me kalimin e kohës pasi identifikohen të dhëna më shumë dublikatë.

Ajo që e bëri sulmin Starwood ndryshe ishte prania e numrave të pasaportave, gjë që mund ta bënte shumë më të lehtë për një shërbim inteligjence të gjurmonte njerëzit që kalojnë kufijtë. Kjo është veçanërisht e rëndësishme në këtë rast: Në Dhjetor, The New York Times raportoi se sulmi ishte pjesë e një përpjekje kineze për mbledhjen e inteligjencës që, duke arritur deri në 2014, gjithashtu hakoi siguruesit e shëndetit amerikan dhe Zyrën e Menaxhimit të Personelit, e cila mban sigurinë dosjet e pastrimit për miliona amerikanë.

Deri më tani, nuk ka raste të njohura në të cilat pasaporta e vjedhur ose informacioni i kartës së kreditit është gjetur në transaksione mashtruese. Por për hetuesit e sulmeve kibernetike, kjo është vetëm një shenjë tjetër se pirateria u krye nga agjencitë e inteligjencës, jo nga kriminelët. Agjencitë do të dëshironin të përdorin të dhënat për qëllimet e tyre - ndërtimin e bazave të të dhënave dhe ndjekjen e synimeve të mbikëqyrjes qeveritare ose industriale - në vend që të shfrytëzojnë të dhënat për fitim ekonomik.

Të marrë së bashku, sulmi duket të jetë pjesë e një përpjekjeje më të gjerë nga Ministria e Sigurimit të Shtetit të Kinës për të përpiluar një bazë të dhënash të madhe amerikanësh dhe të tjerësh me pozita të ndjeshme qeveritare ose industrie - përfshirë këtu ku ata punuan, emrat e kolegëve të tyre, kontakte të huaja dhe miq , dhe ku udhëtojnë.

"Të dhënat e mëdha janë vala e re për kundërzbulimin", tha muajin e kaluar James A. Lewis, një ekspert i sigurisë kibernetike që drejton programin e politikës teknologjike në Qendrën për Studime Strategjike dhe Ndërkombëtare në Uashington.

Marriott International tha se ishin vjedhur më pak rekorde të klientëve nga sa u frikësua fillimisht, por shtoi se më shumë se 25 milion numra të pasaportave u vodhën në sulmin kibernetik të muajit të kaluar. Kompania tha sot se hakimi më i madh i informacionit personal në histori nuk ishte aq i madh sa u frikësua së pari, por për herë të parë pranoi se njësia e saj hoteliere Starwood nuk kriptonte numrat e pasaportës për afërsisht 5 milion vizitorë. Ata numra të pasaportave u humbën në një sulm që shumë ekspertë të jashtëm besojnë se ishte kryer nga agjencitë kineze të inteligjencës.

Kur sulmi u zbulua për herë të parë nga Marriott në fund të Nëntorit, ai tha se informacioni mbi 500 milion vizitorë mund të ishte vjedhur, të gjitha nga baza e të dhënave të rezervimeve të Starwood, një zinxhir i madh hotelierësh që Marriot kishte blerë. Por në atë kohë, kompania tha që shifra ishte një skenar i rastit më të keq sepse përfshinte miliona të dhëna të kopjuara.

Shifra e rishikuar është ende humbja më e madhe në histori, më e madhe se sulmi ndaj Equifax, agjencisë së raportimit të kredisë konsumatore, e cila humbi patentën e shoferit dhe numrat e Sigurimeve Shoqërore prej afro 145.5 milion Amerikanë në 2017, duke çuar në rrëzimin e shefit ekzekutiv të saj dhe një humbje të madhe të besimit në firmë.

Një zyrtar i lartë i Ministrisë Kineze të Sigurimit të Shtetit u arrestua në Belgjikë në fund të vitit të kaluar dhe u ekstradua në Shtetet e Bashkuara me akuzat për të luajtur një rol qendror në piraterinë e firmave të lidhura me mbrojtjen e SH.B.A.-së dhe të tjerët u identifikuan në një padi të Departamentit të Drejtësisë në Dhjetor Por ato raste nuk kishin lidhje me sulmin në Marriott, të cilin FBI ende po heton.

Kina ka mohuar çdo njohuri të sulmit në Marriott. Në dhjetor, Geng Shuang, një zëdhënës i Ministrisë së saj të Punëve të Jashtme, tha, "Kina kundërshton me vendosmëri të gjitha format e sulmit kibernetik dhe e godet atë në përputhje me ligjin."

"Nëse ofrohen prova, departamentet përkatëse kineze do të kryejnë hetime në përputhje me ligjin," shtoi zëdhënësi.

Hetimi i Marriott ka zbuluar një cenueshmëri të re në sistemet hoteliere: Çfarë ndodh me të dhënat e pasaportës kur një klient bën një rezervim ose kontrollon në një hotel, zakonisht jashtë vendit, dhe i dorëzon një pasaportë nëpunësit të tryezës. Marriott tha për herë të parë se 5.25 milion numra pasaportash u mbajtën në sistemin Starwood në skedarë të dhënash të thjeshtë, të paskriptuar - që do të thotë se ata lexoheshin lehtë nga çdokush brenda sistemit të rezervimit. Një shtesë prej 20.3 milion numra pasaportash u mbajtën në skedarë të koduar, gjë që do të kërkonte një çelës kryesor të kriptimit për t'u lexuar. Uncleshtë e paqartë se sa nga ata që përfshijnë pasaportat e SHBA dhe sa vijnë nga vendet e tjera.

"Nuk ka asnjë provë që pala e tretë e paautorizuar ka hyrë në çelësin kryesor të enkriptimit të nevojshëm për të deshifruar numrat e pasaportuar të koduar," tha Marriott në një deklaratë.

Nuk ishte menjëherë e qartë pse disa numra ishin të kodifikuar dhe të tjerët jo - përveç se hotelet në secilin vend, dhe nganjëherë çdo pronë, kishin protokolle të ndryshme për trajtimin e informacionit të pasaportës. Ekspertët e inteligjencës vërejnë se agjencitë e inteligjencës amerikane shpesh kërkojnë numrin e pasaportave të të huajve që ata po ndjekin jashtë Shteteve të Bashkuara - gjë që mund të shpjegojë pse qeveria amerikane nuk ka insistuar në një kriptim më të fortë të të dhënave të pasaportave në të gjithë botën.

I pyetur se si Marriott po merrte informacionin tani që ka bashkuar të dhënat e Starwood në sistemin e rezervimeve Marriott - një bashkim që sapo u përfundua në fund të 2018 - Connie Kim, një zëdhënëse e kompanisë, tha: "Ne po shohim në aftësinë tonë për të lëvizur për kriptimin universal të numrave të pasaportave dhe do të punojë me shitësit e sistemeve tona për të kuptuar më mirë aftësitë e tyre, si dhe rishikimin e rregulloreve të zbatueshme kombëtare dhe lokale. "

Departamenti i Shtetit lëshoi ​​një deklaratë muajin e kaluar duke u thënë mbajtësve të pasaportave të mos panik sepse numri i vetëm nuk do të lejonte dikë të krijonte një pasaportë false. Marriott ka thënë se do të paguante për një pasaportë të re për këdo, informacioni i pasaportës i të cilit, i hakuar nga sistemet e tyre, u gjet i përfshirë në një mashtrim. Por kjo ishte diçka e vogël e korporatave, pasi nuk siguronte asnjë mbulim për mysafirët që dëshironin një pasaportë të re thjesht sepse të dhënat e tyre ishin marrë nga spiunë të huaj.

Deri më tani, kompania ka adresuar këtë çështje duke thënë se nuk ka prova se kush ishin sulmuesit dhe Shtetet e Bashkuara nuk e kanë akuzuar zyrtarisht Kinën në këtë çështje. Por grupet private të inteligjencës kibernetike që kanë parë shkeljen kanë parë paralele të forta me sulmet e tjera, të lidhura me kinezët, në atë kohë. Presidenti dhe shefi ekzekutiv i kompanisë, Arne Sorenson, nuk u është përgjigjur pyetjeve rreth piraterisë në publik dhe Marriott tha se ai po udhëtonte dhe refuzoi një kërkesë nga The Times për të folur në lidhje me piraterinë.

Kompania gjithashtu tha se rreth 8.6 milion karta krediti dhe debiti ishin "përfshirë" në incident, por të gjitha janë të koduara - dhe të gjitha përveç 354,000 kartave kishin skaduar deri në Shtator 2018, kur u zbulua pirateria, e cila vazhdoi për vite me radhë.