万豪酒店对每名数据骗子窃取4年的客人处以0.05 GB的罚款

2020-10-30 22:59:27

在英国信息专员办公室的眼中,你的姓名、地址、电话号码、电子邮件地址、护照号码、出生日期和性别只值0.05英镑。在3.39亿人的数据从万豪酒店连锁店被盗后,英国信息专员办公室已经对万豪酒店处以1840万英镑的罚款。

这笔罚款是作为对2018年喜达屋酒店集团(Starwood Hotels)巨型酒店的监管惩罚,尽管万豪不接受不当行为的责任。

尽管这次攻击最初被认为暴露了该连锁店客人预订数据库中的5亿条记录,但后来的调查向下修正了这一数字。

在暴露的数据中有525万名客人的护照号码,没有加密存储,还有1850万个加密的护照号码和910万个加密的信用卡号码。

雪上加霜的是,ICO将万豪的罚款从最初标示的9900万英镑下调了五分之四,然后一再拖延。

信息专员伊丽莎白·德纳姆(Elizabeth Denham)在一份预录的声明中表示,当一家企业未能保护客户数据时,影响不仅仅是可能的罚款,最重要的是他们有责任保护其数据的公众。

万豪的一位女发言人告诉“纪事报”:万豪对这一事件深感遗憾,并补充说,这家美国连锁酒店仍然致力于保护客人的隐私和信息安全,并继续在其系统的安全措施上投入大量资金。

根据ICO的详细罚款通知[PDF],这次黑客攻击酝酿了多年,直到攻击者开始嗅探支付卡数据时才被发现,此前4年,攻击者在喜达屋酒店(Starwood Hotels)系统内一直未被注意到。

喜达屋在2016年被万豪收购,不过被收购的连锁店的系统一直与万豪自己的IT产业分开,直到前者在收购后被关闭。

2014年7月,不明身份的恶意分子成功地将一个网络外壳潜入喜达屋酒店网络内的一台机器上。然后,该外壳被用来在喜达屋的系统和窃取密码的开源工具MimiKatz上植入各种远程访问特洛伊木马(RAT),攻击者利用这些工具侵入更多的网络账户。

这些账户包括那些没有进行多因素身份验证的账户,以及拥有密钥数据库管理员证书的账户。尽管如此,袭击者的行动还是没有引起注意。

2015年4月至2016年5月,攻击者悄悄创建了数据库转储,以期按照ICO的总结,一次性渗出其中的所有数据。在第一次登录4年后,他们终于在2018年9月触发了警报,此前他们对一个名为Guest_Master_Profile&34;的表进行了清点,其中包含卡数据,该表标记了IBM Guardium产品,该产品被部署来突出任何可疑的数据库操作。

监控Guardium的埃森哲(Accenture)将看到的情况告诉了万豪。由此引发的调查显示,埃森哲员工自己的凭证在2018年7月被攻击者利用。

到2018年10月,万豪还意识到,另一组攻击者成功地在8家酒店的支付终端上部署了内存恶意软件,ICO拒绝透露这些酒店的身份,只是表示这些酒店不在欧洲经济区(European Economic Area),因此超出了其监管范围。

尽管喜达屋(和PCI-DSS审计师)被迫承认,对于在有权访问卡数据环境的账户之间部署MFA的范围,喜达屋(和PCI-DSS审计师)做出了误导性的保证,但万豪得以逃脱制裁。然而,在攻击者进入后,它的公司未能发现个人数据的转储,这对它不利。

ICO表示,在这种情况下,适当的监控应该包括适当地记录用户活动,特别是与特权用户相关的活动。万豪未能以这种方式记录用户活动,这与其根据GDPR承担的义务不符。

监管机构接着表示:万豪实施深度防御战略本来是合适的。ICO接着推翻了万豪的说法,即将已知的好账户列入白名单本身不足以阻止攻击者。

有趣的是,报告中一个经过编辑的部分提到了喜达屋开发的似乎被攻击者使用的脚本。该脚本允许解密数据库表中的AES-128加密条目。

ICO罚款通知书(PDF)第28至40页值得认真的技术人员和经理仔细阅读,他们都想知道IT安全实践如何在决定万豪违反欧盟GDPR的严重程度方面发挥了直接作用。尽管英国将于明年1月退出欧盟控制的GDPR制度,但它反映在2018年数据保护法中,并将继续有效。

ICO表示,要不是万豪建立了数据泄露网站和呼叫中心,为数据泄露热线提供服务,它将处以2800万GB的罚款。它还向客户发送电子邮件通知他们,并与ICO调查人员合作。这为其赢得了2240万英镑的20%折扣,新冠肺炎疫情使其进一步享受了400万英镑的折扣。

电子邮件安全企业Mimecast的威胁情报总监弗朗西斯·加夫尼(Francis Gaffney)认为:监管往往被视为一种负担,但组织应该开始从客户、合作伙伴或员工的角度来看待它。如果客户信任您将他们的数据交给您,您就有责任保护数据并确保数据的安全。许多组织不得不为这类数据泄露支付经济处罚,直到后来,泄露的成本才超过了不投资于安全和数据管理解决方案可能节省的成本。

The Register-独立于科技界的新闻和观点。情况发布的一部分