Violación de datos de Marriott: pasaportes no cifrados

pasaporte
pasaporte
Avatar de Linda Hohnholz
Escrito por linda hohnholz

Marriott dijo por primera vez que 5.25 millones de números de pasaporte se guardaban en el sistema Starwood en archivos de datos simples y sin cifrar.

Marriott dijo hoy que los equipos de analistas forenses y de datos habían identificado "aproximadamente 383 millones de registros como el límite superior" para el número total de registros de reserva de huéspedes perdidos. La compañía aún dice que no tiene idea de quién llevó a cabo el ataque y sugirió que la cifra disminuiría con el tiempo a medida que se identifiquen más registros duplicados.

Lo que hizo que el ataque de Starwood fuera diferente fue la presencia de números de pasaporte, lo que podría facilitar que un servicio de inteligencia rastree a las personas que cruzan las fronteras. Eso es particularmente importante en este caso: en diciembre, The New York Times informó que el ataque era parte de un esfuerzo chino de recopilación de inteligencia que, desde 2014, también pirateó a las aseguradoras de salud estadounidenses y a la Oficina de Gestión de Personal, que mantiene la seguridad. archivos de autorización de millones de estadounidenses.

Hasta el momento, no se conocen casos en los que se haya encontrado información de pasaporte o tarjeta de crédito robada en transacciones fraudulentas. Pero para los investigadores de ciberataques, esa es solo otra señal de que la piratería fue realizada por agencias de inteligencia, no por delincuentes. Las agencias querrían usar los datos para sus propios fines (crear bases de datos y rastrear objetivos de vigilancia gubernamentales o industriales) en lugar de explotar los datos para obtener ganancias económicas.

En conjunto, el ataque pareció ser parte de un esfuerzo más amplio del Ministerio de Seguridad del Estado de China para compilar una enorme base de datos de estadounidenses y otras personas con posiciones gubernamentales o industriales sensibles, incluido dónde trabajaban, los nombres de sus colegas, contactos extranjeros y amigos. y adónde viajan.

"Big data es la nueva ola de contrainteligencia", dijo el mes pasado James A. Lewis, un experto en ciberseguridad que dirige el programa de políticas de tecnología en el Centro de Estudios Estratégicos e Internacionales de Washington.

Marriott International dijo que se robaron menos registros de clientes de lo que se temía inicialmente, pero agregó que se robaron más de 25 millones de números de pasaporte en el ciberataque del mes pasado. La compañía dijo hoy que el mayor hackeo de información personal en la historia no fue tan grande como se temía al principio, pero por primera vez admitió que su unidad de hoteles Starwood no encriptaba los números de pasaporte de aproximadamente 5 millones de huéspedes. Esos números de pasaporte se perdieron en un ataque que muchos expertos externos creen que fue llevado a cabo por agencias de inteligencia chinas.

Cuando el ataque fue revelado por primera vez por Marriott a fines de noviembre, dijo que la información sobre más de 500 millones de huéspedes podría haber sido robada, todo de la base de datos de reservas de Starwood, una importante cadena de hoteles que Marriot había adquirido. Pero en ese momento, la compañía dijo que la cifra era el peor de los casos porque incluía millones de registros duplicados.

La cifra revisada sigue siendo la mayor pérdida de la historia, mayor que el ataque a Equifax, la agencia de informes crediticios del consumidor, que perdió la licencia de conducir y los números de Seguro Social de aproximadamente 145.5 millones de estadounidenses en 2017, lo que provocó la destitución de su director ejecutivo. y una enorme pérdida de confianza en la empresa.

Un alto funcionario del Ministerio de Seguridad del Estado de China fue arrestado en Bélgica a fines del año pasado y extraditado a los Estados Unidos acusado de desempeñar un papel central en la piratería de empresas estadounidenses relacionadas con la defensa, y otros fueron identificados en una acusación del Departamento de Justicia en Diciembre. Pero esos casos no estaban relacionados con el ataque a Marriott, que el FBI aún está investigando.

China ha negado tener conocimiento del ataque a Marriott. En diciembre, Geng Shuang, portavoz de su Ministerio de Relaciones Exteriores, dijo: "China se opone firmemente a todas las formas de ciberataque y lo reprime de conformidad con la ley".

"Si se ofrecen pruebas, los departamentos chinos pertinentes llevarán a cabo investigaciones de acuerdo con la ley", agregó el portavoz.

La investigación de Marriott ha revelado una nueva vulnerabilidad en los sistemas hoteleros: qué sucede con los datos del pasaporte cuando un cliente hace una reserva o se registra en un hotel, generalmente en el extranjero, y entrega un pasaporte al recepcionista. Marriott dijo por primera vez que 5.25 millones de números de pasaporte se guardaban en el sistema Starwood en archivos de datos sencillos y sin cifrar, lo que significa que cualquier persona dentro del sistema de reservas podía leerlos fácilmente. Se guardaron 20.3 millones de números de pasaporte adicionales en archivos cifrados, lo que requeriría una clave de cifrado maestra para leer. No está claro cuántos de los involucrados pasaportes estadounidenses y cuántos provienen de otros países.

"No hay evidencia de que un tercero no autorizado haya accedido a la clave de cifrado maestra necesaria para descifrar los números de pasaporte cifrados", dijo Marriott en un comunicado.

No quedó claro de inmediato por qué algunos números estaban encriptados y otros no, aparte de que los hoteles en cada país, y en ocasiones cada propiedad, tenían diferentes protocolos para manejar la información del pasaporte. Los expertos en inteligencia señalan que las agencias de inteligencia de EE. UU. A menudo buscan los números de pasaporte de los extranjeros que están rastreando fuera de los Estados Unidos, lo que puede explicar por qué el gobierno de EE. UU. No ha insistido en un cifrado más sólido de los datos de los pasaportes en todo el mundo.

Cuando se le preguntó cómo manejaba Marriott la información ahora que ha fusionado los datos de Starwood en el sistema de reservas de Marriott, una fusión que acaba de completarse a fines de 2018, Connie Kim, portavoz de la compañía, dijo: “Estamos investigando nuestra capacidad para movernos al cifrado universal de los números de pasaporte y trabajará con nuestros proveedores de sistemas para comprender mejor sus capacidades, así como para revisar las regulaciones nacionales y locales aplicables ".

El Departamento de Estado emitió un comunicado el mes pasado en el que les decía a los titulares de pasaportes que no se asustaran porque el número por sí solo no permitiría a nadie crear un pasaporte falso. Marriott ha dicho que pagaría por un nuevo pasaporte para cualquier persona cuya información de pasaporte, pirateada de sus sistemas, se encuentre involucrada en un fraude. Pero eso fue una especie de juego de manos corporativo, ya que no proporcionó cobertura para los huéspedes que querían un nuevo pasaporte simplemente porque sus datos habían sido tomados por espías extranjeros.

Hasta ahora, la compañía ha evitado abordar ese problema al decir que no tiene evidencia sobre quiénes fueron los atacantes, y Estados Unidos no ha acusado formalmente a China en el caso. Pero los grupos privados de ciberinteligencia que han analizado la violación han visto fuertes paralelos con los otros ataques relacionados con China que se estaban llevando a cabo en ese momento. El presidente y director ejecutivo de la compañía, Arne Sorenson, no ha respondido a las preguntas sobre la piratería en público, y Marriott dijo que estaba viajando y rechazó una solicitud de The Times para hablar sobre piratería.

La compañía también dijo que alrededor de 8.6 millones de tarjetas de crédito y débito estaban "involucradas" en el incidente, pero todas están encriptadas, y todas menos 354,000 tarjetas habían expirado en septiembre de 2018, cuando se descubrió la piratería, que se prolongó durante años.

Acerca del autor.

Avatar de Linda Hohnholz

linda hohnholz

redactor jefe para eTurboNews con sede en la sede de eTN.

Compartir a...