万豪数据泄露突出了基本失败

国际万豪酒店是一家最新的酒店集团，漫长而不断增长的列表，以承认个人数据泄露，并警告了客人的毛雪屋宣言的数据库受到损害，可能会暴露大约一半的记录。

本集团在其网站上表示，它已经采取了措施来调查和解决2014年9月10日至9月10日之间的饥饿物业的安全事件，这可能在违反数据保护法规的罚款方面对该业务进行严重影响世界各地。

这意味着酒店集团已经花了20天的时间来提醒受违约影响的人，而虽然它进行了调查，以确定发生了什么。

Simon McCalla是代理首席技术官（CTO）的首席技术官（CTO）表示，它需要4年来识别违规涂料的欺诈系统，他们已经到位的安全系统以及他们对业务外部威胁的威胁。

“确保威胁监控和安全系统能够在首次与关键系统互动时捕获威胁是至关重要的。主动防守比回顾更好，“他说。

Joseph Carson是猫科学的首席安全科学家表示，违约者将提出问题，当万豪关于违约时，他们是否遵守了欧盟一般数据保护条例（GDPR）等全球法规，这会产生金融罚款年营业额€20米或4％。

Hotel Group表示尚未完成数据库中的重复信息，但相信它包含最多约5000亿客人的信息。

此类客人约为3.27亿，这些信息包括一些名称，邮政地址，电话号码，电子邮件地址，护照号码，喜达屋首选访客信息，出生日期，性别，抵达和离境信息，预订日期和沟通首选项。

对于一些，信息还包括支付卡号和支付卡到期日期，但使用高级加密标准加密（AES-128）加密支付卡号。

Hotel Group表示，“在这一点上，有两个组成部分需要解除支付卡号码，目前，万豪尚未排除两者都采取的可能性。”

对于剩下的客人，信息仅限于名称，有时是其他数据，如邮政地址，电子邮件地址或其他信息。

安全评论员已将受损的信息描述为网络犯罪分子的潜在的“金矿”，以犯下欺诈和其他罪行，并表示违约应作为所有企业的“唤醒电话”，以更加认真地为客户提供安全的数据。

“这遵循了我们今年对航空业袭击的趋势。这些，以及相关的旅行和酒店部门，流程和存储巨额的高价值个人信息，如护照号，信用卡详细信息等等，“英国和爱尔兰区域总监Aatish Pattni表示，网络安全公司Link11。

万豪表示，它报告了法律执法的事件，即它继续支持他们的调查，并已经开始通知监管机构。

酒店集团声称它“迅速移动”，以遏制事件，并在“领先”的安全专家的帮助下进行调查。Marriott表示，它已经建立了一个专门的网站和呼叫中心来处理客户咨询。

Marriott于2018年11月30日开始向受影响的客人发送电子邮件地址位于喜北伍特客人预订数据库，提供一年的免费信用监控。

安全评论员说突发再次强调保护个人数据后追捧的重要性，并突出显示一些基本的安全失败，例如在他们解锁的数据资源中不保持加密密钥。

Matt Middleton-Leal，Netwrix的欧洲总经理表示，万豪已承认，黑客可能还采取了解密所需的信息，以指向存储在同一系统上的加密密钥。

“这是一个非常基本的错误，这似乎对酒店集团造成了灾难性的后果。添加到哪种情况下，似乎这一违规可能已经过到2014年，这表明该组织的检测能力缺乏。

“这对公司能够监控用户行为，检测异常并实时终止可疑会话是至关重要的。组织委托有丰富属于客户的个人和财务数据，有责任保护这一点。他们可以并必须更好地避免基本的安全失败，让他们的客户开放欺诈，“他说。

Ilia Kolochenko，CEO和Web安全公司高科技桥梁的创始人表示，该事件似乎是与不安全的Web应用程序相关的数据违规。

“许多大型公司仍然仍然没有对其外部应用的最新库存，更不用说进行持续的安全监控和增量测试。他们尝试不同的安全解决方案，没有一致和连贯的应用安全策略。显然，有一天这样的方法将失败。“规定，例如GDPR，不一定有助于帮助。在过去的两年中，许多公司过度关注纸张上的GDPR，忽略了由于预算和资源有限而忽略了实际的安全要求。管理层往往对遵守的形式主义方法往往满足，无视网络安全和隐私的实际方面，“他说。

其他评论员表示，违约还强调了合并和收购的安全影响。

“在这种情况下，当万豪获取的喜达屋时，需要将新收购的基础设施，应用程序和系统视为一个业务危重风险，直到可以识别和映射新的扩展攻击表面并优先考虑风险降低，”Simon Roe说，Outpost24的产品经理。

“使用您的处置的所有工具 - 漏洞扫描，应用程序安全工具，第三方穿透测试。虽然我们不知道在合并之前和之后如何处理安全性，但鉴于攻击者之前的时间长短，而且在之后，在过渡期间，很容易假设某些事情已经消失了，“他说。

Marriott International收购喜达屋2016年，包括W酒店，喜来登，勒曼·梅里迪安和喜来登四点。幸运的是，万豪品牌酒店使用单独的预订系统，意味着万豪不受违规影响的影响。

鉴于纯粹的偷窃和泄露的个人数据现在可以在黑暗的网络上纯粹的扩散依赖于过时的安全方法，令人违背依赖于过时的安全方法（如偷窃和泄露的个人数据）现在可以在黑暗的网络上纯粹的扩散，强调了“纯粹的愚蠢”。

“公司持有的每一条客户信息代表潜在的攻击点，并且每次伴侣或代理都会访问它，那么它也是一个潜在的攻击点。酒店，酒店公司，银行和电子商务实体均致力于更新的方法来使客户能够在频道上验证自己，而无需任何个人数据。

“寻求横幅凭证填充的客户面向客户的商务和金融机构正在越来越多地寻求超越个人数据认证，以更高级的方法，这些方法不要求用户知道，制造或接收并手动输入验证因素以消除坏的能力演员猜测，Phish，凭证 - 东西，社会工程师，模仿或捕获进入网络的路

“依赖基于加密密钥的身份验证的隐形多乐电阻认证解决方案与设备，环境和行为技术相结合，提供了这样的解决方案。通过他们的本性，他们易于使用，无形地发布和利用，删除人为错误，以及违反凭证填充和其他共同攻击，“他说。

关于国家网络安全中心的发言人表示：“我们正在与合作伙伴合作以更好地了解影响Marriott International的数据泄露以及它如何影响客户。“NCSC网站包括对认为它们受到数据泄露影响的人的建议，包括可疑电话的指导和可在数据违约之后发送的有针对性的电子邮件。”我们还建议人们对任何可疑活动保持警惕他们的银行账户和信用卡，如果有疑虑，请联系他们的金融提供者。“