Компания Marriott International сообщила, что хакеры получили доступ к базе данных бронирования сети Starwood Hotels (принадлежит Marriott), содержащей персональные данные клиентов начиная с 2014 года и по сегодняшний день. Причем, в ходе расследования обнаружилось, что неавторизованный доступ к базе был получен еще в 2014 году.
Всего утекли данные 500 миллионов гостей, пользовавшихся услугами Starwood Hotels, из них 327 миллионов содержат номера паспортов, даты рождения, адреса электронной почты, почтовые адреса, даты заселения и выезда, а в некоторых случаях и даже данные банковских карт. Самое удивительное, что платежная информация была зашифрована при помощи AES-128. Однако, как утверждают в Marriott, «компоненты для расшифровки» также были похищены.
Пострадали клиенты, которые останавливались в одном из перечисленных ниже отелей, входящих в Starwood Hotels: W Hotels, St. Regis, Sheraton Hotels & Resorts, Westin Hotels & Resorts, Element Hotels, Aloft Hotels, The Luxury Collection, Tribute Portfolio, Le Meridien Hotels & Resorts, Four Points by Sheraton и Design Hotels.
Все идет к тому, что это будет крупнейшей утечкой персональных данных со времен утечки 3 миллиардов пользователей из Yahoo в 2013 году.
Регулярные новости про отдельные случаи утечек данных, оперативно публикуются на канале Утечки информации.
Комментарии (21)
Sabubu
30.11.2018 20:28Компании не должны хранить ПД вечно. Они должны удалять ПД сразу после оказания услуги, и могут их сохранять только если гость явно согласился на это (ради участия в какой-то акции, например).
Если бы предложенный мной закон действовал, насколько бы все вокруг было безопаснее и насколько бы меньше был ущерб, подумайте! Неужели я один вижу эту проблему, а вся толпа высокооплачиваемых привилегированных дармоедов-депутатов не видит?
И, кстати, магазины бы тогда не могли слать спам на почту или телефон. Да я просто гением себя чувствую. Уж лучше этих дармоедов, которые до такой простой идеи не додумались.Angmarets
01.12.2018 20:44+1В Украине это так и работает вроде. Если вы хотите получить скидочную карту в магазине, кафе и т.д. — вы даете им свой телефон, ФИО, иногда адрес и подписываете согласие на обработку персональных данных. Не хотите — не подписываете, но и скидку вам никто не даст. Да, идет спам по СМС, зато и скидку по номеру телефона получить можно(приходит СМС с кодом, который кассир вбивает) и не таскать пачку карточек
Igor_Shumilov
01.12.2018 10:46Они должны удалять ПД сразу после оказания услуги, и могут их сохранять только если гость явно согласился на это
Подавляющее большинство гостей отелей всё равно будут соглашаться. Ибо кража этих данных событие вероятностное и какое-то далёкое, а акции и бонусы они гарантированные и близкие.
Неужели я один вижу эту проблему, а вся толпа высокооплачиваемых привилегированных дармоедов-депутатов не видит?
Есть нюанс. Данными о проживавших в отелях пользуются в том числе оперативные службы. Они будут не рады, если у них заберут такой источник информации. Да и сами отельеры будут не рады, если у них заберут базу клиентов. Итого имеем интересы бизнеса и силовиков против интересов обычных людей.
Tyusha
01.12.2018 20:47+3Все идет к тому, что это будет крупнейшей утечкой персональных данных со времен утечки 3 миллиардов пользователей из Yahoo в 2013 году.
Когда ж наконец утекут данных всех людей вообще, чтобы мы перестали об этом беспокоиться.Igor_Shumilov
01.12.2018 10:493 миллиарда тогда, 500 миллионов сейчас, вот уже половина данных утекла. Без учёта пересечения этих множеств, конечно.
tvr
01.12.2018 19:543 миллиардов пользователей из Yahoo в 2013 году
Я дико извиняюсь, но даже в тринадцатом году у яху столько пользователей быть не могло, в принципе. В первоисточник не смотрел, но похоже в очередной раз толи журналист изнасиловал исследователя, толи переводчик их обоих, или все они дружно трахнули арифметику.ashotog Автор
01.12.2018 20:16www.wsj.com/articles/yahoo-triples-estimate-of-breached-accounts-to-3-billion-1507062804
www.cnbc.com/2017/10/03/yahoo-every-single-account-3-billion-people-affected-in-2013-attack.htmltvr
01.12.2018 20:29Иии? Откуда у яхи столько пользователей? Сколько вообще народа на этом шарике? На сейчас больше семи миллиардов. И вы утверждаете, что пять лет назад половина вот этого вот всего была пользователями яху?
Исчё раз. Три миллиарда пользователей, в 2013 году. Это фантастика, сэр.
Ну или ошибка перевода биллионов в миллионы.hdfan2
02.12.2018 09:30Там везде 3 миллиарда аккаунтов, не пользователей. У меня тоже на всяких gmail'ах десяток временных аккаунтов, давно заброшенных. С какого бодуна они вдруг превратились в людей (причём, похоже, только во втором url'е — в статье тоже только про аккаунты речь), непонятно.
Anshi85
01.12.2018 21:09Тут важнее узнать причину утечки, если причина в человеческом факторе, будь то халатность или некомпетентность, то будь у вас хоть самое крутое шифрование, вас нечего не спасет. К сожалению компании приобретают дорогие системы ИБ, но при этом исключают человеческий фактор, кто будет заниматься ИБ, насколько он компетентен, насколько компетентны и проинформированы те кто пользуется системой и имеет высокий уровень доступа.
eviland
01.12.2018 17:11+1Самое интересное, что Мариот купил Старвуд в 2015, т.е. уже после того, как утечка произошла. Есть подозрение, что Старвуд из-за этого и продали, а Мариот был не в курсе. И теперь все репутационные потери именно на Мариот.
tendium
01.12.2018 17:20Пару раз останавливался в одном из отелей сети. У них на телевизоре можно было управлять услугами. И оба раза мне случайным образом вываливался дамп несработавшего SQL-запроса (имеются фото-пруфы, но лениво искать). И что-то я не удивлен данной новости…
KES777
01.12.2018 18:42Не понимаю весь этот кипишь с персональными данными.
Куда ни плюнь — везде требуют эти данные: заключение договора, купля билетов и прочее.
И когда я с кем-то заключаю договор (контактирую с окружающим миром), то эти данные — это мои данные для ОБЩЕСТВЕННОЙ ДЕЯТЕЛЬНОСТИ. Это не денные из моей личной жизни, это данные из моей общественной жизни.
ИМХО: Прикреплять бы к этим «персональным» данным рейтинг этих людей. Тогда по простому whois сразу было бы понятно: иметь с этим человеком дело или пусть чешит.
Я думаю просто кто-то из выше боятся светиться. Ибо тогда можно сразу было бы реально отследить какие чиновники с чем связаны. И почему у верховного судьи расходы превишают в 10раз его официальную зарплату??
**UPD**
Сталкивался пару раз с мошенниками и плевать, что есть решение суда (вся собственность на жене), и плевать что они в розыске — их не находят, хотя я сам пересекаюсь с ними раз в месяц. И плевать следователям и розыску, т.к. при проверке им делают устный выговор.
И публиковать их персональные данные нельзя — ибо ЗАКОН. Так что я ЗА, чтобы все персональные данные утекли и мы не беспокоились больше об этом.roscomtheend
03.12.2018 12:21Время задать очередной вопрос — «вы готовы поделиться данными своей общественно жизни?» Например, данными банковской карты (вы же в курсе что она не ваша), данными о своих тратах, данными когда живёте в отелях или путешествуете. И вне зависимости от ответа — большинство не хотят делиться такими данными с произвольным кругом лиц.
Efrem3112
Что поражает меня в этом больше всего: утекли данные 500 000 000 гостей, с 2014 года по октябрь 2018, т.е. максимум 1825 дней, и отелей всего 11… Не могу представить себе отель вмещающий почти 25 000 человек.
ashotog Автор
ошибка в том, что отелей не 11. это 11 брендов.
rPman