Verletzung der Marriott-Daten: Pässe nicht verschlüsselt

Marriott gab heute bekannt, dass Teams von Forensikern und Datenanalysten "ungefähr 383 Millionen Datensätze als Obergrenze" für die Gesamtzahl der verlorenen Datensätze für Gastreservierungen identifiziert haben. Das Unternehmen sagt immer noch, es habe keine Ahnung, wer den Angriff ausgeführt hat, und es schlug vor, dass die Zahl im Laufe der Zeit sinken würde, wenn mehr doppelte Aufzeichnungen identifiziert werden.

Was den Starwood-Angriff anders machte, war das Vorhandensein von Passnummern, die es einem Geheimdienst erheblich erleichtern könnten, grenzüberschreitende Personen aufzuspüren. Dies ist in diesem Fall besonders wichtig: Im Dezember berichtete die New York Times, dass der Angriff Teil einer chinesischen Nachrichtensammlung war, die bis 2014 auch US-amerikanische Krankenversicherer und das Amt für Personalmanagement, das die Sicherheit gewährleistet, gehackt hat Freigabedateien über Millionen von Amerikanern.

Bisher sind keine Fälle bekannt, in denen bei betrügerischen Transaktionen gestohlene Pass- oder Kreditkarteninformationen gefunden wurden. Für Cyberangriffsermittler ist dies jedoch nur ein weiteres Zeichen dafür, dass der Hacking von Geheimdiensten und nicht von Kriminellen durchgeführt wurde. Die Agenturen möchten die Daten für ihre eigenen Zwecke verwenden - Datenbanken erstellen und Ziele der staatlichen oder industriellen Überwachung verfolgen -, anstatt die Daten für wirtschaftliche Gewinne zu nutzen.

Insgesamt schien der Angriff Teil einer breiteren Anstrengung des chinesischen Ministeriums für Staatssicherheit zu sein, eine riesige Datenbank von Amerikanern und anderen Personen mit sensiblen Regierungs- oder Industriepositionen zusammenzustellen - einschließlich des Arbeitsplatzes, der Namen ihrer Kollegen, ausländischer Kontakte und Freunde und wohin sie reisen.

"Big Data ist die neue Welle der Spionageabwehr", sagte James A. Lewis, ein Cybersicherheitsexperte, der das technologiepolitische Programm am Center for Strategic and International Studies in Washington leitet, im vergangenen Monat.

Marriott International sagte, dass weniger Kundendaten gestohlen wurden als ursprünglich befürchtet, fügte jedoch hinzu, dass beim Cyberangriff im letzten Monat mehr als 25 Millionen Passnummern gestohlen wurden. Das Unternehmen gab heute bekannt, dass das größte Hacken persönlicher Informationen in der Geschichte nicht ganz so groß war, wie zunächst befürchtet wurde, räumte jedoch zum ersten Mal ein, dass die Starwood-Hoteleinheit die Passnummern für rund 5 Millionen Gäste nicht verschlüsselt hat. Diese Passnummern gingen bei einem Angriff verloren, von dem viele externe Experten glauben, dass er von chinesischen Geheimdiensten durchgeführt wurde.

Als der Angriff Ende November zum ersten Mal von Marriott aufgedeckt wurde, hieß es, Informationen über mehr als 500 Millionen Gäste seien möglicherweise aus der Reservierungsdatenbank von Starwood, einer großen Hotelkette, die Marriot erworben hatte, gestohlen worden. Zu der Zeit sagte das Unternehmen jedoch, dass die Zahl ein Worst-Case-Szenario sei, da sie Millionen doppelter Datensätze enthielt.

Die revidierte Zahl ist nach wie vor der größte Verlust in der Geschichte, der größer ist als der Angriff auf Equifax, die Verbraucherkreditauskunftei, die 145.5 den Führerschein und die Sozialversicherungsnummer von rund 2017 Millionen Amerikanern verloren hat, was zum Sturz ihres Vorstandsvorsitzenden führte und ein großer Vertrauensverlust in die Firma.

Ein hochrangiger Beamter des chinesischen Ministeriums für Staatssicherheit wurde Ende letzten Jahres in Belgien festgenommen und an die Vereinigten Staaten ausgeliefert, weil er eine zentrale Rolle beim Hacking von US-Verteidigungsunternehmen gespielt hatte. Weitere Personen wurden in einer Anklage des Justizministeriums in identifiziert Dezember. Diese Fälle hatten jedoch nichts mit dem Marriott-Angriff zu tun, den das FBI noch untersucht.

China hat jegliche Kenntnis des Marriott-Angriffs bestritten. Im Dezember sagte Geng Shuang, ein Sprecher des Außenministeriums: "China lehnt alle Formen von Cyberangriffen entschieden ab und geht gesetzeskonform gegen sie vor."

"Wenn Beweise angeboten werden, werden die zuständigen chinesischen Abteilungen Untersuchungen gemäß dem Gesetz durchführen", fügte der Sprecher hinzu.

Die Marriott-Untersuchung hat eine neue Sicherheitslücke in Hotelsystemen aufgedeckt: Was passiert mit Passdaten, wenn ein Kunde eine Reservierung vornimmt oder in ein Hotel eincheckt, normalerweise im Ausland, und einen Pass an den Angestellten an der Rezeption übergibt? Marriott sagte zum ersten Mal, dass 5.25 Millionen Passnummern im Starwood-System in einfachen, unverschlüsselten Datendateien gespeichert wurden - was bedeutet, dass sie von jedem im Reservierungssystem leicht gelesen werden konnten. Weitere 20.3 Millionen Passnummern wurden in verschlüsselten Dateien gespeichert, für deren Lesen ein Hauptverschlüsselungsschlüssel erforderlich wäre. Es ist unklar, wie viele der beteiligten US-Pässe und wie viele aus anderen Ländern stammen.

"Es gibt keine Hinweise darauf, dass der nicht autorisierte Dritte auf den Hauptverschlüsselungsschlüssel zugegriffen hat, der zum Entschlüsseln der verschlüsselten Passnummern erforderlich ist", heißt es in einer Erklärung von Marriott.

Es war nicht sofort klar, warum einige Nummern verschlüsselt waren und andere nicht - außer dass die Hotels in jedem Land und manchmal in jeder Unterkunft unterschiedliche Protokolle für den Umgang mit den Passinformationen hatten. Geheimdienstexperten stellen fest, dass US-Geheimdienste häufig die Passnummern von Ausländern suchen, die sie außerhalb der USA verfolgen - was möglicherweise erklärt, warum die US-Regierung nicht auf einer stärkeren Verschlüsselung von Passdaten weltweit bestanden hat.

Auf die Frage, wie Marriott mit den Informationen umgegangen ist, nachdem die Daten von Starwood in das Reservierungssystem von Marriott integriert wurden - eine Fusion, die erst Ende 2018 abgeschlossen wurde -, sagte Connie Kim, eine Unternehmenssprecherin: „Wir prüfen unsere Fähigkeit, umzuziehen zur universellen Verschlüsselung von Passnummern und wird mit unseren Systemanbietern zusammenarbeiten, um deren Fähigkeiten besser zu verstehen und die geltenden nationalen und lokalen Vorschriften zu überprüfen. “

Das Außenministerium gab letzten Monat eine Erklärung ab, in der es Passinhabern sagte, sie sollten nicht in Panik geraten, da die Nummer allein es niemandem ermöglichen würde, einen gefälschten Pass zu erstellen. Marriott hat angekündigt, einen neuen Pass für jeden zu bezahlen, dessen Passinformationen, die von ihren Systemen gehackt wurden, in einen Betrug verwickelt waren. Aber das war eine Art Fingerspitzengefühl für Unternehmen, da es keine Deckung für Gäste bot, die einen neuen Pass wollten, nur weil ihre Daten von ausländischen Spionen übernommen worden waren.

Bisher hat sich das Unternehmen zurückgezogen, um dieses Problem anzugehen, indem es sagte, es habe keine Beweise dafür, wer die Angreifer waren, und die Vereinigten Staaten haben China in diesem Fall nicht offiziell beschuldigt. Private Cyberintelligenz-Gruppen, die sich mit dem Verstoß befasst haben, haben jedoch starke Parallelen zu den anderen Angriffen im Zusammenhang mit China festgestellt. Der Präsident und Geschäftsführer des Unternehmens, Arne Sorenson, hat keine Fragen zum öffentlichen Hacken beantwortet, und Marriott sagte, er sei auf Reisen und lehnte eine Anfrage der Times ab, über das Hacken zu sprechen.

Das Unternehmen sagte auch, dass ungefähr 8.6 Millionen Kredit- und Debitkarten an dem Vorfall „beteiligt“ waren, aber alle sind verschlüsselt - und alle bis auf 354,000 Karten waren bis September 2018 abgelaufen, als das jahrelange Hacken entdeckt wurde.