การถูกละเมิดข้อมูล ในช่วงปลายปี 2018 เครือโรงแรม Marriott ได้ประกาศว่าระบบการจองห้องหนึ่งถูกบุกรุกโดยมีประวัติลูกค้าหลายร้อยล้านรายซึ่งรวมถึงหมายเลขบัตรเครดิตและหมายเลขหนังสือเดินทางโดยผู้บุกรุก แม้ว่าแมริออทยังไม่เปิดเผยไทม์ไลน์หรือรายละเอียดทางเทคนิคของการโจมตีทั้งหมด แต่สิ่งที่เรารู้บอกเราได้เล็กน้อยเกี่ยวกับภูมิทัศน์ของภัยคุกคามในปัจจุบัน – และนำเสนอบทเรียนสำหรับองค์กรอื่น ๆ เกี่ยวกับวิธีป้องกันตนเอง
ในการตรวจสอบของพวกเขา Marriott พบข้อมูลที่ผู้โจมตีเข้ารหัสและพยายาม (อาจสำเร็จ) เพื่อลบออกจากระบบของ Starwood เมื่อถึงเดือนพฤศจิกายนพวกเขาสามารถถอดรหัสข้อมูลนั้นได้และพบว่ามีข้อมูลจากบันทึกของแขกมากถึง 500 ล้านบันทึกแม้ว่าข้อมูลเหล่านั้นจะรวมถึงบันทึกที่ซ้ำกันหรือบันทึกหลายรายการที่เกี่ยวข้องกับแขกแต่ละคนก็ตาม บันทึกหลายรายการมีข้อมูลที่ละเอียดอ่อนอย่างยิ่งเช่นหมายเลขบัตรเครดิตและหมายเลขหนังสือเดินทาง เมื่อทราบถึงความรุนแรงของการละเมิดแล้ว Marriott ได้ออกแถลงการณ์เมื่อวันที่ 30 พฤศจิกายน 2018โดยสรุปข้อมูลเบื้องต้นที่เราได้อธิบายไว้ที่นี่
อะไรทำให้เกิดการละเมิดข้อมูลของ Marriott
แมริออทไม่ได้เปิดเผยรายละเอียดของการโจมตีต่อสาธารณะมากนักดังนั้นเราจึงไม่สามารถบอกได้ว่าช่องโหว่หรือความผิดพลาดใดเป็นสาเหตุโดยตรงของการละเมิด Arne Sorenson ซีอีโอของแมริออทปรากฏตัวต่อหน้าวุฒิสภาสหรัฐเพื่อพูดคุยเกี่ยวกับการโจมตีและบันทึกคำให้การของเขาเป็นหน้าต่างให้เรารู้ การถูกละเมิดข้อมูล
ดังที่เราได้สังเกตเห็นว่า Marriott ทราบเป็นครั้งแรกว่าพวกเขาถูกแฮ็กเมื่อเครื่องมือรักษาความปลอดภัยตั้งค่าสถานะข้อความค้นหาฐานข้อมูลที่ผิดปกติ (เครื่องมือนี้ได้รับการตรวจสอบโดย Accenture ซึ่งเคยใช้งานไอทีและความปลอดภัยของข้อมูลสำหรับ Starwood ก่อนการควบรวมกิจการและดำเนินการต่อสำหรับเครือข่ายเดิมในภายหลัง) การสืบค้นฐานข้อมูลถูกสร้างขึ้นโดยผู้ใช้ที่มีสิทธิ์ระดับผู้ดูแลระบบ แต่การวิเคราะห์เปิดเผยอย่างรวดเร็วว่า บุคคลที่ได้รับมอบหมายบัญชีนั้นไม่ใช่ผู้ที่ทำการสืบค้น มีคนอื่นสามารถควบคุมบัญชีได้
นักวิจัยเริ่มทำการกวาดล้างระบบเพื่อหาเบาะแสและค้นพบRemote Access Trojan (RAT)พร้อมกับMimiKatzซึ่งเป็นเครื่องมือสำหรับดักจับชื่อผู้ใช้ / รหัสผ่านคอมโบในหน่วยความจำระบบ เครื่องมือทั้งสองนี้ร่วมกันอาจทำให้ผู้โจมตีสามารถควบคุมบัญชีผู้ดูแลระบบได้ มันไม่ชัดเจนว่าหนูถูกวางไว้บนเซิร์ฟเวอร์ของ Starwood แต่เช่นโทรจันมักจะถูกดาวน์โหลดจากฟิชชิ่งอีเมลและก็เหมาะสมที่จะคาดเดาว่าอาจจะได้รับกรณีที่นี่
แต่การซุ่มซ่อนอยู่เบื้องหลังเวกเตอร์การโจมตีที่เฉพาะเจาะจงเหล่านี้ทำให้เกิดปัจจัยทางวัฒนธรรมและธุรกิจที่เราอาจระบุสาเหตุที่แท้จริงของการละเมิดได้ สิ่งที่โดดเด่นในที่นี้ไม่ใช่ความสำเร็จของการโจมตีในการละเมิดระบบของ Starwood ผู้เชี่ยวชาญด้านความปลอดภัยส่วนใหญ่ในปัจจุบันเชื่อว่าแทบจะเป็นไปไม่ได้เลยที่จะทำให้ผู้โจมตีทั้งหมดอยู่ในสถานการณ์ตลอดเวลา – แต่การโจมตีนั้นไม่ถูกตรวจพบเป็นเวลาสี่ปี Starwood ไม่ได้มีวัฒนธรรมการรักษาความปลอดภัยที่ดีที่สุดก่อนที่ Marriott จะเข้าซื้อกิจการ Wall Street Journalรายงานว่าพนักงานโรงแรม Starwood แบบเสมอพบระบบการจองยากที่จะรักษาความปลอดภัยและในความเป็นจริงที่แตกต่างกันผู้โจมตีละเมิดระบบในปี 2558 และไม่ถูกตรวจพบเป็นเวลาแปดเดือน จากนั้นหลังจากที่แมริออทมา Starwood แบบในเดือนกันยายนปี 2016 ส่วนใหญ่ของพนักงานขององค์กรตาร์วูดรวมทั้งผู้ที่เทคโนโลยีสารสนเทศการจัดการและการรักษาความปลอดภัยที่ถูกปลดออกจากงาน การตัดเงินเดือนแบบนี้เป็นสิ่งที่ก่อให้เกิด “การทำงานร่วมกัน” และผลกำไรที่สูงขึ้นซึ่งผลักดันให้เกิดการควบรวมกิจการเหล่านี้ในตอนแรก แต่แมริออทไม่มีที่ไหนเลยที่จะพร้อมจองแขกในโรงแรมที่เพิ่งซื้อมาใหม่หลายพันแห่งด้วยตัวเอง ระบบการจองภายในองค์กรและระบบเก่าของสตาร์วูดจึงเดินโซซัดโซเซเหมือนซอมบี้ติดมัลแวร์ถูกแฮ็กเกอร์เจาะและไม่มีการดูแลอย่างต่อเนื่องอีกสองปีก่อนที่จะมีการค้นพบการละเมิดในที่สุด
อะไรคือผลกระทบของการละเมิดของ Marriott?
ในระดับหนึ่งการละเมิดของ Marriott อาจเป็นหายนะ: ผู้คนหลายร้อยล้านคนถูกขโมยหนังสือเดินทางและหมายเลขบัตรเครดิตซึ่งอาจส่งผลกระทบต่อบุคคลที่ร้ายแรง ประเด็นเกี่ยวกับหมายเลขบัตรเครดิตเป็นเรื่องที่น่ากังวลเป็นอย่างยิ่งและเป็นไปได้โดยการรักษาความปลอดภัยอื่นที่ล้มเหลวในส่วนของ Marriott: ในขณะที่หมายเลขบัตรเครดิตถูกเก็บไว้ในรูปแบบที่เข้ารหัสคีย์การเข้ารหัสจะถูกเก็บไว้ในเซิร์ฟเวอร์เดียวกันและยังปรากฏอยู่ใน การละเมิด สำหรับหมายเลขหนังสือเดินทางในขณะที่บางคนถูกเข้ารหัสที่ส่วนใหญ่ได้รับการบันทึกเพียงในที่ชัดเจน
แต่ในความเป็นจริงแล้วการละเมิดดูเหมือนจะไม่ส่งผลเสียหายต่อลูกค้าของ Starwood เท่าที่จะเป็นไปได้ นั่นอาจดูแปลกและเพื่อให้เข้าใจเหตุผลเราจำเป็นต้องตอบคำถามอีกสองสามข้อ: ใครฝ่าฝืน Marriott และเพราะเหตุใด
ใครแฮ็ก Marriott และทำไม?
การขโมยข้อมูลผู้บริโภคจำนวนมากมักเกี่ยวข้องกับอาชญากรไซเบอร์ที่มีเป้าหมายเพื่อขโมยข้อมูลประจำตัวหรือใช้หมายเลขบัตรเครดิตที่ขโมยมา แต่ในเดือนธันวาคม 2018 บทความในNew York TimesและWashington Postซึ่งอ้างถึงแหล่งที่มาที่ไม่มีชื่อในรัฐบาลสหรัฐฯได้ชี้ไปในทิศทางที่แตกต่างไปจากเดิมอย่างสิ้นเชิงนั่นคือแฮกเกอร์ที่ทำงานโดยหน่วยข่าวกรองของจีน
แหล่งที่มาของโพสต์และไทม์สามารถเข้าถึงข้อมูลเกี่ยวกับการแฮ็กได้มากกว่าที่เปิดเผยต่อสาธารณะและกล่าวว่าโค้ดและรูปแบบการโจมตีที่ใช้นั้นตรงกับเทคนิคที่แฮกเกอร์จีนใช้ ผู้โจมตีใช้พื้นที่คลาวด์โฮสติ้งที่แฮกเกอร์จีนใช้บ่อยเช่น (การมีส่วนร่วมของหน่วยสืบราชการลับของสหรัฐฯในการสืบสวนและลักษณะที่ละเอียดอ่อนของการโจมตีอาจอธิบายได้ว่าเหตุใดจึงไม่มีการเปิดเผยรายละเอียดทางเทคนิคมากนัก) เบาะแสอีกประการหนึ่งที่ว่าการละเมิดนี้เป็นส่วนหนึ่งของการโจมตีของรัฐบาลแทนที่จะเป็นเพียงอาชญากรไซเบอร์ก็คือข้อเท็จจริง ไม่มีผู้คนนับล้านของระเบียนที่มีคุณค่าที่ได้สิ้นสุดสำหรับการขายบนเว็บมืด ; นี่ไม่ใช่แค่การปล้นสะดม
แล้วแรงจูงใจในการโจมตีคืออะไร? แหล่งข่าวของรัฐบาลคาดการณ์ว่านี่เป็นส่วนหนึ่งของความพยายามของจีนในวงกว้างในการรับข้อมูลจำนวนมหาศาลเกี่ยวกับพนักงานของรัฐบาลอเมริกันและเจ้าหน้าที่ข่าวกรอง แมริออทเป็นผู้ให้บริการโรงแรมชั้นนำสำหรับรัฐบาลและกองทัพสหรัฐฯ โดยเฉพาะอย่างยิ่งหมายเลขหนังสือเดินทางที่ถูกขโมยสามารถใช้เพื่อติดตามการเคลื่อนไหวทั่วโลก การละเมิดระบบของสำนักงานบริหารงานบุคคลซึ่งส่งผลให้ประชาชนหลายล้านคนถูกขโมยข้อมูลไปในทำนองเดียวกัน แต่ไม่มีข้อมูลใดที่ลงเอยด้วยเว็บมืดหรือถูกใช้เพื่อการฉ้อโกงอาจเป็นส่วนหนึ่งของแคมเปญเดียวกัน เป้าหมายที่ใหญ่กว่าคือการสร้าง Data Lake ของข้อมูลเกี่ยวกับพนักงานและตัวแทนของรัฐบาลอเมริกันที่สามารถใช้เทคนิคข้อมูลขนาดใหญ่ในการวิเคราะห์ได้
เมื่อมองย้อนกลับไปค่อนข้างน่าสงสัย Marriott ต้องต่อสู้กับการเสนอราคาจาก Anbang ซึ่งเป็น บริษัท จีนเมื่อเข้าซื้อกิจการ Starwood อย่างไรก็ตามเมื่อสิ่งที่เกิดขึ้นในปี 2559 แฮ็กเกอร์ชาวจีนได้ละเมิดระบบของ Starwood ไปแล้วดังนั้นจึงอาจเป็นเรื่องบังเอิญ
ในเดือนกุมภาพันธ์ปี 2020 กระทรวงยุติธรรมของสหรัฐอเมริกาได้ตั้งข้อหาสมาชิกกองทัพจีน 4 คนอย่างเป็นทางการด้วยการโจมตี Equifax ในปี 2560ซึ่งทำให้ข้อมูลระบุตัวตนของผู้คนนับล้าน ในการประกาศคำฟ้องการโจมตี Equifax เชื่อมโยงอย่างชัดเจนกับการละเมิดของ Marriott และ OPM ซึ่งเป็นส่วนหนึ่งของปฏิบัติการที่ใหญ่กว่าเดิม นี่เป็นความเคลื่อนไหวที่หายากมาก – สหรัฐฯแทบไม่ได้ยื่นฟ้องเจ้าหน้าที่ข่าวกรองต่างประเทศเพื่อหลีกเลี่ยงการตอบโต้เจ้าหน้าที่หน่วยข่าวกรองของอเมริกาซึ่งเป็นการตอกย้ำว่ารัฐบาลสหรัฐฯดำเนินการโจมตีอย่างจริงจังเพียงใด
Marriott ตอบสนองต่อการละเมิดอย่างไร
บางทีอาจเป็นเพราะดูเหมือนว่าจะไม่มีการคุกคามในทันทีของข้อมูลที่ถูกขโมยที่ถูกนำไปใช้ในการฉ้อโกงแบบเดิม ๆ Marriott จึงไม่ได้ออกนอกลู่นอกทางเพื่อชดเชยลูกค้าที่ข้อมูลถูกขโมยไป The New York Times อ้างคำพูดจากโฆษกของ Marriottว่า บริษัท จะจ่ายค่าเปลี่ยนหนังสือเดินทางด้วยหมายเลขใหม่หรือครอบคลุมค่าใช้จ่ายบัตรเครดิต “หากมีการฉ้อโกงเกิดขึ้น” ในขณะที่ความเสียหายที่อาจเกิดขึ้นจากข้อมูลส่วนบุคคลที่จัดเก็บโดยหน่วยข่าวกรองของจีนนั้นมีความลึกซึ้งในทางทฤษฎี แต่ก็ยากที่จะหาปริมาณโดยเฉพาะสำหรับแต่ละบุคคล
มีการฟ้องร้องดำเนินคดีระดับการละเมิดข้อมูลของ Marriott หรือไม่
แน่นอนว่านั่นคือความสบายใจหากคุณเป็นหนึ่งในบุคคลที่ได้รับผลกระทบและในความเป็นจริงลูกค้าของ Marriott และ Starwood ไม่ได้โกหก มีการฟ้องร้องดำเนินคดีในชั้นเรียนหลายคดีและความล้มเหลวของแมริออทในการตรวจสอบสถานะความปลอดภัยของข้อมูลของสตาร์วูด (หรือการขาดข้อมูลดังกล่าว) ได้ถูกแยกออกเป็นพิเศษในเอกสารของศาลจากโจทก์ แอคเซนเจอร์ซึ่งเป็น บริษัท ให้คำปรึกษาแก่ผู้ Starwood (และต่อมาแมริออท) ได้ outsourced มากของการดำเนินงานแบบวันต่อวันไอทีนอกจากนี้ยังถูกฟ้องเป็นส่วนหนึ่งของคดีเดียวกัน
ถึงกระนั้นก็ไม่ต้องนับการยุติการละเมิดข้อมูลของ Marriott ซึ่งส่งมอบวันจ่ายเงินจำนวนมาก รายงานผู้บริโภค มีรายละเอียดบางประการเกี่ยวกับลูกค้ารายใดที่จะถูกนำเข้าสู่การดำเนินการในชั้นเรียนโดยอัตโนมัติและคุณจะเลือกไม่รับได้อย่างไร พวกเขาคาดการณ์ว่าค่าตอบแทนใด ๆ ให้กับแต่ละบุคคลจะต้องเจียมเนื้อเจียมตัว
การละเมิดข้อมูลของ Marriott มีค่าใช้จ่ายเท่าใด
นั่นไม่ได้หมายความว่า บริษัท จะหนีไปโดยไม่เสียค่าใช้จ่าย เมื่อเดือนมีนาคม 2019 บริษัท มีค่าใช้จ่ายที่เกี่ยวข้องกับการละเมิด 28 ล้านดอลลาร์และยังลดผลกำไรของ บริษัท ลงเพียง3 ล้านดอลลาร์เท่านั้น เมื่อถึงเดือนพฤษภาคม บริษัท ฯ ได้ลดความสูญเสียของไปเพียง $ 1,000,000 อย่างไร? Cyberinsurance ซึ่งครอบคลุมค่าใช้จ่ายเริ่มต้นส่วนใหญ่ที่เกี่ยวข้องกับวิกฤต การประกันภัยกับการโจมตีทางอินเทอร์เน็ตเป็นข้อเสนอที่ค่อนข้างใหม่แต่ดูเหมือนว่าจะจ่ายเงินให้กับ Marriott แล้ว
แต่ต้นทุนเริ่มต้นเหล่านั้นเป็นเพียงจุดเริ่มต้น ZDNet ประเมินว่าระหว่างต้นทุนทางตรงและความสูญเสียทางอ้อมที่เกิดจากลูกค้าที่หลบหนีจาก บริษัท ในอนาคตในที่สุด Marriott อาจเห็นรายได้ที่หายไปหลายพันล้านดอลลาร์อันเป็นผลมาจากการละเมิด
THAI-PDPA ให้คำปรึกษาและบริการปกป้องข้อมูลส่วนบุคคลตาม พ.ร.บ.ฯ แบบครบวงจร
ผู้ที่สนใจใช้บริการ Data Protection Services ของ THAI-PDPA สามารถติดต่อฝ่ายขายที่ดูแลคุณหรือฝ่ายการตลาดได้ที่เบอร์ 0-2860-6659 หรืออีเมล dcs@ko.in.th
Leave A Comment?