Из Marriott утекли персональные данные 500 млн. клиентов

    Компания Marriott International сообщила, что хакеры получили доступ к базе данных бронирования сети Starwood Hotels (принадлежит Marriott), содержащей персональные данные клиентов начиная с 2014 года и по сегодняшний день. Причем, в ходе расследования обнаружилось, что неавторизованный доступ к базе был получен еще в 2014 году.



    Всего утекли данные 500 миллионов гостей, пользовавшихся услугами Starwood Hotels, из них 327 миллионов содержат номера паспортов, даты рождения, адреса электронной почты, почтовые адреса, даты заселения и выезда, а в некоторых случаях и даже данные банковских карт. Самое удивительное, что платежная информация была зашифрована при помощи AES-128. Однако, как утверждают в Marriott, «компоненты для расшифровки» также были похищены.


    Пострадали клиенты, которые останавливались в одном из перечисленных ниже отелей, входящих в Starwood Hotels: W Hotels, St. Regis, Sheraton Hotels & Resorts, Westin Hotels & Resorts, Element Hotels, Aloft Hotels, The Luxury Collection, Tribute Portfolio, Le Méridien Hotels & Resorts, Four Points by Sheraton и Design Hotels.


    Все идет к тому, что это будет крупнейшей утечкой персональных данных со времен утечки 3 миллиардов пользователей из Yahoo в 2013 году.


    Регулярные новости про отдельные случаи утечек данных, оперативно публикуются на канале Утечки информации.

    DeviceLock DLP
    Российский производитель полноценных DLP-систем
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 23

      –1
      Что поражает меня в этом больше всего: утекли данные 500 000 000 гостей, с 2014 года по октябрь 2018, т.е. максимум 1825 дней, и отелей всего 11… Не могу представить себе отель вмещающий почти 25 000 человек.
        +3
        ошибка в том, что отелей не 11. это 11 брендов.
          +1
          Starwood Hotels and Resorts Worldwide — американская компания, владеющая 11 сетями отелей и курортных комплексов. Включает 1300 отелей в 100 странах мира, общая вместимость — около 370 тысяч комнат.
          +5
          Компании не должны хранить ПД вечно. Они должны удалять ПД сразу после оказания услуги, и могут их сохранять только если гость явно согласился на это (ради участия в какой-то акции, например).

          Если бы предложенный мной закон действовал, насколько бы все вокруг было безопаснее и насколько бы меньше был ущерб, подумайте! Неужели я один вижу эту проблему, а вся толпа высокооплачиваемых привилегированных дармоедов-депутатов не видит?

          И, кстати, магазины бы тогда не могли слать спам на почту или телефон. Да я просто гением себя чувствую. Уж лучше этих дармоедов, которые до такой простой идеи не додумались.
            +2
            В Украине это так и работает вроде. Если вы хотите получить скидочную карту в магазине, кафе и т.д. — вы даете им свой телефон, ФИО, иногда адрес и подписываете согласие на обработку персональных данных. Не хотите — не подписываете, но и скидку вам никто не даст. Да, идет спам по СМС, зато и скидку по номеру телефона получить можно(приходит СМС с кодом, который кассир вбивает) и не таскать пачку карточек
              0
              Они должны удалять ПД сразу после оказания услуги, и могут их сохранять только если гость явно согласился на это
              Подавляющее большинство гостей отелей всё равно будут соглашаться. Ибо кража этих данных событие вероятностное и какое-то далёкое, а акции и бонусы они гарантированные и близкие.

              Неужели я один вижу эту проблему, а вся толпа высокооплачиваемых привилегированных дармоедов-депутатов не видит?
              Есть нюанс. Данными о проживавших в отелях пользуются в том числе оперативные службы. Они будут не рады, если у них заберут такой источник информации. Да и сами отельеры будут не рады, если у них заберут базу клиентов. Итого имеем интересы бизнеса и силовиков против интересов обычных людей.
              +7
              Все идет к тому, что это будет крупнейшей утечкой персональных данных со времен утечки 3 миллиардов пользователей из Yahoo в 2013 году.

              Когда ж наконец утекут данных всех людей вообще, чтобы мы перестали об этом беспокоиться.
                0
                3 миллиарда тогда, 500 миллионов сейчас, вот уже половина данных утекла. Без учёта пересечения этих множеств, конечно.
                  0
                  Данные всех американцев-избирателей тоже в паблике давно
                  0
                  3 миллиардов пользователей из Yahoo в 2013 году

                  Я дико извиняюсь, но даже в тринадцатом году у яху столько пользователей быть не могло, в принципе. В первоисточник не смотрел, но похоже в очередной раз толи журналист изнасиловал исследователя, толи переводчик их обоих, или все они дружно трахнули арифметику.
                      +1
                      Иии? Откуда у яхи столько пользователей? Сколько вообще народа на этом шарике? На сейчас больше семи миллиардов. И вы утверждаете, что пять лет назад половина вот этого вот всего была пользователями яху?
                      Исчё раз. Три миллиарда пользователей, в 2013 году. Это фантастика, сэр.
                      Ну или ошибка перевода биллионов в миллионы.
                        0
                        Там везде 3 миллиарда аккаунтов, не пользователей. У меня тоже на всяких gmail'ах десяток временных аккаунтов, давно заброшенных. С какого бодуна они вдруг превратились в людей (причём, похоже, только во втором url'е — в статье тоже только про аккаунты речь), непонятно.
                        0
                        Del/ очередной дубль.
                      0
                      del/trible
                        0
                        del/duble
                        0
                        Тут важнее узнать причину утечки, если причина в человеческом факторе, будь то халатность или некомпетентность, то будь у вас хоть самое крутое шифрование, вас нечего не спасет. К сожалению компании приобретают дорогие системы ИБ, но при этом исключают человеческий фактор, кто будет заниматься ИБ, насколько он компетентен, насколько компетентны и проинформированы те кто пользуется системой и имеет высокий уровень доступа.
                          +1
                          Самое интересное, что Мариот купил Старвуд в 2015, т.е. уже после того, как утечка произошла. Есть подозрение, что Старвуд из-за этого и продали, а Мариот был не в курсе. И теперь все репутационные потери именно на Мариот.
                            0
                            Пару раз останавливался в одном из отелей сети. У них на телевизоре можно было управлять услугами. И оба раза мне случайным образом вываливался дамп несработавшего SQL-запроса (имеются фото-пруфы, но лениво искать). И что-то я не удивлен данной новости…
                              –6
                              Не понимаю весь этот кипишь с персональными данными.

                              Куда ни плюнь — везде требуют эти данные: заключение договора, купля билетов и прочее.
                              И когда я с кем-то заключаю договор (контактирую с окружающим миром), то эти данные — это мои данные для ОБЩЕСТВЕННОЙ ДЕЯТЕЛЬНОСТИ. Это не денные из моей личной жизни, это данные из моей общественной жизни.

                              ИМХО: Прикреплять бы к этим «персональным» данным рейтинг этих людей. Тогда по простому whois сразу было бы понятно: иметь с этим человеком дело или пусть чешит.

                              Я думаю просто кто-то из выше боятся светиться. Ибо тогда можно сразу было бы реально отследить какие чиновники с чем связаны. И почему у верховного судьи расходы превишают в 10раз его официальную зарплату??

                              **UPD**
                              Сталкивался пару раз с мошенниками и плевать, что есть решение суда (вся собственность на жене), и плевать что они в розыске — их не находят, хотя я сам пересекаюсь с ними раз в месяц. И плевать следователям и розыску, т.к. при проверке им делают устный выговор.

                              И публиковать их персональные данные нельзя — ибо ЗАКОН. Так что я ЗА, чтобы все персональные данные утекли и мы не беспокоились больше об этом.
                                0
                                Время задать очередной вопрос — «вы готовы поделиться данными своей общественно жизни?» Например, данными банковской карты (вы же в курсе что она не ваша), данными о своих тратах, данными когда живёте в отелях или путешествуете. И вне зависимости от ответа — большинство не хотят делиться такими данными с произвольным кругом лиц.
                                  0
                                  большинство не хотят делиться такими данными с произвольным кругом лиц.

                                  Так люди же делятся информацией о том, когда и куда путешествуют, где отдыхают. Это всё видно в соц. сетях. Есть даже сервисы, к которым вы можете подключиться и публиковать ваше местоположение в реалтайм. ;-)


                                  Я много думал над публичностью данных.Есть много за, и есть много против. Но я больше ЗА, чем ПРОТИВ. Вопрос в том кто и как эти данные будет использовать.


                                  Я соглашусь с вами: Да, многие не хотят делится:
                                  а) чтобы не обращали внимание на их "чёрные" дела
                                  б) кто-то может использовать вашу открытость, чтобы отомстить


                                  данными о своих тратах

                                  вопрос о том, что я кушаю и какие лекарства пью — это не касается общественности.
                                  А вот объём: пришло/ушло — да.

                                    +1
                                    Вы знаете, что такое «зависть» и какие у неё могут быть последствия?

                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                              Самое читаемое