메리어트 데이터 위반 : 암호화되지 않은 여권

오늘 메리어트는 법의학 및 데이터 분석가 팀이 손실 된 총 게스트 예약 기록 수에 대해 "약 383 억 XNUMX 만 건의 기록을 상한선"으로 식별했다고 밝혔다. 회사는 여전히 누가 공격을했는지 전혀 모른다고 말하고 있으며 더 많은 중복 기록이 확인되면 시간이 지남에 따라 수치가 감소 할 것이라고 제안했습니다.

Starwood 공격을 다르게 만든 것은 여권 번호의 존재 였기 때문에 정보 기관이 국경을 넘는 사람들을 훨씬 쉽게 추적 할 수있었습니다. 이 경우에 특히 중요합니다 .2014 월에 뉴욕 타임즈는이 공격이 XNUMX 년으로 거슬러 올라가 미국 건강 보험사와 보안을 유지하는 인사 관리국을 해킹 한 중국 정보 수집 노력의 일부라고보고했습니다. 수백만 명의 미국인에 대한 통관 파일.

지금까지 사기 거래에서 여권이나 신용 카드 정보를 도난당한 사례는 알려진 바 없습니다. 그러나 사이버 공격 수사관들에게 이는 해킹이 범죄자가 아닌 정보 기관에 의해 수행되었다는 또 다른 신호일뿐입니다. 기관은 경제적 이익을 위해 데이터를 악용하기보다는 데이터베이스 구축 및 정부 또는 산업 감시 목표 추적과 같은 자체 목적으로 데이터를 사용하기를 원할 것입니다.

종합 해보면,이 공격은 중국의 국가 안보부가 일한 장소, 동료 이름, 외국 연락처 및 친구를 포함하여 민감한 정부 또는 업계 직책을 가진 미국인 및 기타 사람들의 방대한 데이터베이스를 컴파일하려는 광범위한 노력의 일부인 것으로 보입니다. , 그리고 그들이 여행하는 곳.

"빅 데이터는 대 지능을위한 새로운 물결입니다."라고 워싱턴의 전략 및 국제 연구 센터에서 기술 정책 프로그램을 운영하는 사이버 보안 전문가 인 James A. Lewis는 지난달 말했습니다.

메리어트 인터내셔널은 처음 두려워했던 것보다 더 적은 고객 기록이 도난 당했지만 지난달 사이버 공격으로 25 만 개 이상의 여권 번호가 도난 당했다고 덧붙였다. 회사는 오늘 역사상 가장 큰 개인 정보 해킹이 처음 두려워했던 것만 큼 크지는 않았지만 처음으로 스타 우드 호텔 단위가 대략 5 만 명의 손님의 여권 번호를 암호화하지 않았다고 인정했다. 이 여권 번호는 많은 외부 전문가들이 중국 정보 기관이 수행했다고 믿는 공격으로 분실되었습니다.

지난 500 월 말 매리어트가 공격을 처음 공개했을 때 매리어트가 인수 한 주요 호텔 체인 인 스타 우드의 예약 데이터베이스에서 XNUMX 억 명 이상의 손님에 대한 정보가 도난 당했을 수 있다고 밝혔다. 그러나 당시 회사는이 수치가 수백만 개의 중복 레코드를 포함했기 때문에 최악의 시나리오라고 말했습니다.

수정 된 수치는 여전히 역사상 가장 큰 손실이며, 소비자 신용보고 기관인 Equifax에 대한 공격으로 145.5 년 약 2017 억 XNUMX 만 명의 미국인이 운전 면허증과 사회 보장 번호를 잃어 최고 경영자가 축출되었습니다. 그리고 회사에 대한 엄청난 자신감 상실.

중국 국가 안보부 고위 관리 한 명이 지난해 말 벨기에에서 체포되어 미국 국방 관련 기업 해킹에 중심적인 역할을 한 혐의로 미국으로 송환됐으며, 다른 사람들은 미국 법무부 기소장에서 확인됐다. XNUMX 월. 그러나이 사건은 FBI가 아직 조사중인 메리어트 공격과는 무관하다.

중국은 메리어트 공격에 대한 지식을 부인했습니다. 지난 XNUMX 월 외교부 대변인 인 좡솽은“중국은 모든 형태의 사이버 공격을 단호하게 반대하고 법에 따라 단속한다”고 말했다.

대변인은 "증거가 제시되면 관련 중국 부서에서 법에 따라 조사를 수행 할 것"이라고 덧붙였다.

메리어트 조사에서 호텔 시스템의 새로운 취약점이 밝혀졌습니다. 고객이 일반적으로 해외에서 호텔을 예약하거나 체크인 할 때 여권 데이터는 어떻게 되나요? 메리어트는 처음으로 5.25 만 개의 여권 번호가 암호화되지 않은 일반 데이터 파일로 Starwood 시스템에 보관되어있어 예약 시스템 내부의 모든 사람이 쉽게 읽을 수 있다고 말했습니다. 추가로 20.3 만 개의 여권 번호가 암호화 된 파일에 보관되었으므로이를 읽으려면 마스터 암호화 키가 필요합니다. 미국 여권과 관련된 사람들의 수와 다른 국가에서 온 사람들은 불분명합니다.

메리어트는 성명에서“승인되지 않은 제 XNUMX자가 암호화 된 여권 번호를 해독하는 데 필요한 마스터 암호화 키에 액세스했다는 증거는 없습니다.

일부 번호가 암호화되고 다른 번호가 암호화되지 않은 이유는 즉시 명확하지 않았습니다. 각 국가의 호텔, 때로는 각 자산이 여권 정보를 처리하기위한 프로토콜이 서로 다릅니다. 정보 전문가들은 미국 정보 기관이 미국 밖에서 추적하고있는 외국인의 여권 번호를 찾는 경우가 많다는 점에 주목합니다. 이는 미국 정부가 전 세계적으로 더 강력한 여권 데이터 암호화를 주장하지 않은 이유를 설명 할 수 있습니다.

2018 년 말에 완료된 합병 인 Starwood의 데이터를 Marriott 예약 시스템에 병합 한 지금 메리어트가 정보를 어떻게 처리하고 있는지 묻는 질문에 회사 대변인 인 Connie Kim은 다음과 같이 말했습니다. 여권 번호의 보편적 인 암호화에 적용되며 시스템 공급 업체와 협력하여 해당 기능을 더 잘 이해하고 적용 가능한 국가 및 지역 규정을 검토 할 것입니다. "

국무부는 지난달 여권 소지자들에게 숫자만으로는 가짜 여권을 만들 수 없기 때문에 당황하지 말라고 성명을 발표했습니다. 메리어트는 자신의 시스템에서 해킹 된 여권 정보가 사기에 연루된 것으로 밝혀진 사람에게 새 여권을 지불하겠다고 밝혔다. 그러나 그것은 단순히 외국 스파이가 그들의 데이터를 가져 갔기 때문에 새 여권을 원하는 손님에게 보장을 제공하지 않았기 때문에 기업의 재치있는 손이었습니다.

지금까지 회사는 공격자가 누구인지에 대한 증거가 없으며 미국은이 사건에서 공식적으로 중국을 비난하지 않았다고 말함으로써이 문제를 해결하지 못했습니다. 그러나 침해를 조사한 사설 사이버 인텔리전스 그룹은 당시 진행중인 다른 중국 관련 공격과 강력한 유사성을 보였습니다. 회사의 사장 겸 최고 경영자 인 Arne Sorenson은 공개적으로 해킹에 대한 질문에 답하지 않았으며 Marriott는 그가 여행 중이며 The Times의 해킹에 대한 이야기 ​​요청을 거부했다고 밝혔다.

이 회사는 또한 약 8.6 만 개의 신용 카드와 직불 카드가이 사건에 "관련"되었지만 모두 암호화되어 있으며 354,000 카드를 제외한 모든 카드는 수년간 계속 된 해킹이 발견 된 2018 년 XNUMX 월에 만료되었습니다.