Uautoriseret adgang til Marriott-netværk: Data om halv mia. kunder kan være lækket

Sheraton Toronto Illustration: Sheraton/Mariott
Hotelkæden Marriott International oplyser, at data om op mod en halv mia. kunder kan være lækket.

En database hos Marriott International er blevet kompromitteret og en halv mia. kundeoplyser kan i en forbindelse være blevet lækket. Det oplyser hotelkæden i en pressemeddelelse.

Det drejer sig om en reservations-database for Marriotts Starwood-brand, som bl.a. omfatter Sheraton, Westin, Le Méridien og W-hotellerne. Ifølge pressemeddelelsen har der været uautoriseret adgang til Starwood-netværket siden 2014.

Den 8. september 2018 modtog Marriott en underretning via et internt sikkerhedsværktøj om at forsøg på at tilgå Starwood-databasen i USA. Marriott begyndte herefter at undersøge sagen nærmere sammen med eksterne eksperter.

Og den 19. november 2018 nåede virksomheden frem til, at databasen er blevet tilgået på uautoriseret vis 10. september 2018 eller før. En ikke nærmere angivet part har i den forbindelse kopieret og krypteret databaseindholdet. 19. november fik Marriott dekrypteret data-indholdet og kunne i den forbindelse se, at der var tale om Starwood-databasen.

Læs også: Fatter du din netværkstrafik? Centraliser dine logs og tag skrammerne alvorligt

Mariott oplyser, virksomheden endnu ikke er færdig med at rydde ud i dubletter, men at man vurderer, at informationer om op mod ca. 500 millioner gæster har ligget i databasen.

For ca. 327 mio. gæsters vedkommende indeholder de kompromitterede data blandt andet oplysninger om navn, postadresse, køn, fødselsdato, telefonnummer, mail-adresse og pas-nummer. Derudover har der i nogle tilfælde også været tale om betalingskort-numre, samt disses udløbsdato.

Hvad kortoplysningerne angår, bemærker Marriott, at de har været krypteret med AES-128. Virksomheden oplyser, at det ikke kan udelukkes, at data, der kan bruges til dekryptering af kortoplysningerne, også kan være blevet taget i forbindelse med kompromitteringen af netværket.

Marriott har meldt sagen til politiet og begynder at sende mails ud til berørte gæster i dag. Virksomheden tilbyder desuden gæster et års gratis medlemskab hos WebWatcher.

Det er ifølge pressemeddelelsen en tjeneste, der underretter brugere, såfremt deres personlige oplysninger dukker op på nettet. Tjenesten er ikke tilgængelig i alle lande, bemærkes det.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Bjarne Nielsen

Wow, det er godt nok oplysninger om mange personer. Det svarer nogenlunde til alle, børn, unge og gamle, i hele EU.

Hvordan man kan formå at samle så mange personoplysninger ... og miste herredømmet over dem, overgår min forstand.

NYT har en artikel, som tilføjer lidt mere information:

Starwoods systemer har åbenbart været kompromiteret siden 2014. Da Marriott overtager Starwood i 2016, får de så mere med, end de havde regnet med, selv efter due dilligence. Jeg tænker, at oplysninger ikke er fjernet på en gang, men har sivet ud løbende over flere år.

Efter opkøbet forsøger Marriott at harmonisere deres bonusprogrammer med Starwoods, hvilket åbenbart ikke ligefrem forløb gnidningsfrit. Det kan godt være, at Marriott i dag er knapt så begejstrede for opkøbet, som dengang det skete :-).

Man undrer sig også i artiklen over, at oplysningerne tilsyneladende ikke er blevet udbudt til salg, og derfor taler man om, at der må ligge andre motiver bag, f.eks. nationale aktører og deres ønske om at lave big data analyser mv.

Bjarne Nielsen

Nu sidder jeg så, sådan en smule off-topic, og overvejer, om man kan tale om at data er "lækket", hvis det er en national aktør, som er løbet med dem? Er der så ikke bare tale om, at de er blevet delt i fortrolighed?

Sådan på samme måde, som vores journaloplysninger hos vores egen læge, bliver delt i fortrolighed med utroligt mange andre mennesker i gruppen løst defineret som "sundhedsfaglige" (som jo nok omfatter apotekere, forskere i sygehusvæsenet og deres samarbejdsparterne, og sikkert også embedsværket til diverse formål som kontrol og statistik og anden form for nysgerrighed).

Faktisk tror jeg at jeg vil være mere tryg ved den fortrolighed, som jeg kan regne med fra en efterretningstjeneste, end fra "sundhedsfaglige" i videste forstand.

Hans Nielsen

Hvis man bliver indlagt er det da dejligt hvis hospitalet kan se af man ikke kan tåle pencilin eller jordnødder

og af de kan se hvilken medecin man plejer af tage

Ja men synes nu ikke det er så fint, hvis man begynder at få tilsendt reklammer for kopi medisin fra indien, for allagi. Fordi ens personligt sunhedsdata er spredt for alle vinde. Sammen med oplysninger om ens sexualitet, misbrugsproblemmer og andet som mange regeringer eller forsikringsselskaber kunne bruge.

Christian Nobel

Wow, det er godt nok oplysninger om mange personer. Det svarer nogenlunde til alle, børn, unge og gamle, i hele EU.

Jeg synes også det lyder meget voldsomt, det svarer til at ca. 5-7% af hele jordens befolkning skulle have boet på et Marriott hotel.

Personligt er det vist mindst 20 år siden jeg sidst har boet på et Marriott hotel, og jeg tror ikke jeg kan finde bare nogle få procent i min omgangkreds der har boet på et.

De må have høstet data i rigtig mange år for at kunne komme op i de mængder.

Bjarne Nielsen

De må have høstet data i rigtig mange år for at kunne komme op i de mængder.

En debattør på Ars Technica mente, at der nok var tale om en hel del dubletter.

Det er klart, at hvis man er interesseret i deres bonusprogram, så gør man en indsats for at bliver genkendt, men der er også mange, som er fuldkommen ligeglade, og så vil de nok blive registreret på ny hver gang.

Frithiof Jensen

Hvis man bliver indlagt er det da dejligt hvis hospitalet kan se af man ikke kan tåle pencilin eller jordnødder


Hvad så hvis det er lögn? Eller at mine data ved en fejl er blevet blandet op med dine data?

Når först vores data er ude på internettet er der ingen garantier for kvaliteten längere. Der er ingen transaktionslog eller adgangskontrol: Alle og Enhver kan rette hvad som helst!

Hvis jeg var en af den slags forretningsfolk som gör at et marked bliver reguleret ville jeg da väre glad hvis hospitalet var dumme nok til at tage den journaldatabase som jeg selv har forfalsket for gode varer.

Det er hospitalet så ikke - men hvis man nu skyder sådan noget "AI" som 'Watson' ind spändingfeltet imellem forfalskede data og de ägte, kunne det da väre at man i det mindste kunne booste salget lidt ved at skubbe lidt til statistikken?

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder