Hotellkjeden Marriott International varslet i dag at den etterforsker et datainnbrudd i reservasjonsdatabasen til datterselskapet Starwood Hotels and Resorts, som igjen står bak en rekke hotellkjeder, hvor Sheraton Hotels & Resorts nok er den mest kjente.
I begynnelsen av september skal Marriott ha fått et varsel fra et internt sikkerhetsverktøy om at noen forsøkte å få tilgang til reservasjonsdatabasen hos Starwood. Eksterne etterforskere skal deretter ha oppdaget at nettverket til Starwood har vært utsatt for uautorisert tilgang helt siden 2014. Dette opplyser Marriott i en kunngjøring.
I ettertid har det vist seg at inntrengerne har kopiert og kryptert informasjon som de har fått til i nettverket. Tilsynelatende har denne informasjonen blitt liggende i infrastrukturen til Starwood uten å bli slettet.
Les også: Hotell kartla gjester, fikk kritikk av Datatilsynet
Måtte dekrypteres først
Først den 19. november greide Marriott å dekryptere informasjonen og fant ut at innholdet var hentet fra reservasjonsdatabasen til Starwood.
Databasen inneholder trolig en hel del duplikat informasjon, men Marriott mener likevel at den kan inneholde informasjon om opptil 500 millioner gjester som har gjort reservasjoner hos én av Starwood-kjedene. I tillegg til Sheraton, omfatter dette i alle fall kjedene W Hotels, St. Regis, Westin Hotels & Resorts, Element Hotels, Aloft Hotels, The Luxury Collection, Tribute Portfolio, Le Méridien Hotels & Resorts, Four Points by Sheraton og Design Hotels.
Informasjonen om rundt 327 millioner av disse gjestene består av blant annet navn, postadresse, telefonnummer, epostadresse, passnummer, fødselsdato, kjønn, samt ankomst- og avreisedatoer.
Betalingskort
For ganske mange er også informasjon om betalingskort inkludert. Riktignok er kortnumrene kryptert med AES-128. Marriott oppgir at det kreves to komponenter for å dekryptere disse numrene, men selskapet kan så langt utelukke at begge komponenter har blitt stjålet.
Når det gjelder de resterende gjestene, skal informasjonen være mer begrenset.
Marriotts egne gjester skal ikke være berørt av hendelsen da selskapet benytter et separat reservasjonssystem i et annet nettverk enn det Starwood bruker.
Hotellselskaper som dette har både hoteller i Europa og europeiske gjester i andre deler av verden. Dermed gjelder GDPR. Marriott opplyser at innbruddet er anmeldt og at selskapet har begynt å varsle tilsynsmyndigheter.
Leste du denne? Hotell erstattet lysbryterne med nettbrett
Svak sikkerhet
I en uttalelse som digi.no har mottatt fra Ilia Kolochenko, CEO sikkerhetsselskapet High-Tech Bridge, omtaler han hendelsen som ett av de større datainnbruddene relatert til usikre webapplikasjoner. Han mener at mange store selskaper har utdaterte, kunderettede appliaksjoner og dessuten unnlater å utføre kontinuerlig sikkerhetsovervåkning og inkrementell testing.
– Det prøver ulike sikkerhetsløsninger uten noen konsistent og sammenhengende strategi for applikasjonssikkerheten. En slik tilnærming vil nødvendigvis feile en dag, mener Kolochenko.
Kan få store, økonomiske konsekvenser
Han mener at de rettslike konsekvensene for Marriott og datterselskapene kan bli enorme, både ved at tilsynsmyndighetene i mange land vil kunne gi selskapene store bøter, og ved at det vil kunne komme både individuelle søksmål og massesøksmål fra berørte kunder.
Kolochenko mener at reguleringer som GDPR ikke nødvendigvis har noe reell effekt.
– I de siste to årene har mange selskaper vært overivrige med å overholde GDPR på papiret, samtidig som begrensede budsjetter og ressurser fører til at de ignorere praktiske sikkerhetstiltak. Ledelsen er ofte fornøyd med en formalistisk tilnærming, men ignorere den praktiske siden ved kybersikkerhet og personvern, sier Kolochenko.
Les også: Slik fikk Roy tilgang til over en million hotellreservasjoner
