万豪行政总裁分享去年黑客事件的事后调查

2020-01-02 12:00:00
导读 万豪国际首席执行官阿恩·索伦森(Arne Sorenson)昨日在美国参议院小组委员会面前作证,透露了有关这家酒店连锁店去年披露的安全漏洞的新细

万豪国际首席执行官阿恩·索伦森(Arne Sorenson)昨日在美国参议院小组委员会面前作证,透露了有关这家酒店连锁店去年披露的安全漏洞的新细节。

索伦森在参议院国土安全与政府事务委员会常设调查小组委员会前发表讲话,向该公司的客户表示歉意,但也否认了有关中国是黑客入侵背后的谣言。

根据准备作证的声明,索伦森说,万豪第一次得知发生问题的时间是在去年9月8日,当时管理喜达屋顾客预订数据库的IT公司埃森哲与他们取得了联系。

万豪酒店此前已于2016年9月收购了喜达屋酒店连锁店,并正在制定一项计划,以将其客户迁移到其自己的宾客预订系统,但当时,喜达屋系统仍与万豪网络的其余部分分开。

但是在9月8日,埃森哲告诉万豪IT员工,他们的安全产品之一,即称为IBM Guardium的数据库监视系统,于9月7日一天前在喜达屋客户预订数据库上检测到异常。

Sorenson说:“ Guardium警报是由管理员帐户的查询触发的,该查询返回数据库表中的行数。”

这样的查询被认为是危险的,因为在数据库之上运行的软件通常不需要进行查询。这意味着操作人员正在手工进行这种非常具体的查询。

索伦森说:“作为对警报的调查的一部分,我们了解到使用凭据的个人实际上并未进行查询。”

那时,万豪酒店员工意识到他们正在应对可能的违规行为,尽管他们不知道这是大事还是仅仅是黑客的开端,在攻击者访问任何用户数据之前很容易就可以将其遏制。

该公司表示,它于9月10日召集了第三方法医调查人员,以帮助其IT员工调查可能的违规行为。不到一周后,法医公司就翻查了喜达屋IT系统中的恶意软件。

“调查人员发现了一种远程访问木马(RAT),这是一种恶意软件,它使攻击者可以秘密访问,监视甚至控制计算机。今天,我收到了正在进行的调查的通知,而我们的董事会通知第二天,”首席执行官说。

首席执行官表示,要发现攻击的全部范围,需要进行大量的法医工作。但是,尽管RAT已在喜达屋IT系统上出现,但没有证据表明未授权方已经访问了喜达屋客户预订数据库中的客户数据。

但是调查并没有停止。到下个月的十月,法医公司还发现了Mimikatz,这是一种安全性研究人员和黑客都使用的渗透测试工具,它可以在设备的内存中搜索用户名和密码。该工具最有可能用于帮助黑客获取其他喜达屋系统的密码,并帮助他们转移到IT网络的其他部分。

再一次,调查人员没有找到证据表明黑客已经访问了客户数据。

在11月,调查人员发现黑客从2014年7月起就活跃在喜达屋的IT网络上,而万豪早在万豪被收购之前,黑客就从下个月的“可能坏”变为“坏”。

这意味着黑客已经行动了两年多,却没有被发现,并且使整个调查变得更加困难,因为法医公司现在不得不挖掘多年的日志。

再一次,仍然没有证据表明黑客访问了客户数据。

但是不可避免的事情最终发生了,它发生在11月中旬。以下是Sorenson关于如何以及何时意识到黑客窃取了喜达屋客户数据的准备好的摘录,摘录如下:

11月13日,我们的调查人员发现了证据,表明已从他们正在检查的设备中删除了两个压缩的加密文件。文件已加密,实际内容未知。也有证据表明这两个文件可能已从喜达屋网络中删除。六天后,即2018年11月19日,调查人员能够解密文件,发现其中一个包含喜达屋顾客预订数据库中包含访客数据的表格的导出,而另一个包含包含护照信息的表格的导出。 。

此时,文字在墙上,并且在霓虹灯闪烁的灯光下书写。黑客破坏了喜达屋的IT网络,并从其宾客预订数据库中窃取了客户详细信息。

现在已经有很好的记录。这家酒店连锁店已通知主管部门,并于11月30日公开了其数据泄露信息,披露了影响约5亿客户的数据泄露,该公司后来在2019年1月和3月再次更新的数据。

根据索伦森准备的声明以及喜达屋违规通知网站上的更新,以下是有关万豪违规情况的最新统计数据:

3.83亿客人记录

1850万个加密护照号码

525万个未加密的护照号码(美国为66.3万个)

910万个加密的支付卡号

违反时有效的385,000张卡号

万豪行政总裁再次表示,调查工作尚未发现证据,表明黑客已获得对用于加密支付卡号的加密密钥的访问权,这意味着大多数受损的支付卡号仍对攻击者无用。

此外,受影响的酒店客人总数达3.83亿,可能会更小。

Sorenson说:“在许多情况下,同一个来宾似乎有多个记录,但是由于数据的性质,无法轻松执行进一步的重复数据删除。” “我们不能自信地确定具有相似名称甚至具有不同地址的相同名称的记录是代表一个人还是多个人,但是我们可以肯定地得出结论,涉及的信息少于3.83亿个唯一访客。”

索伦森表示,披露违规行为也是一项巨大的工作,需要通知联邦调查局,所有美国州总检察长,联邦贸易委员会,美国证券交易委员会,20个不同国家的监管机构,四个主要的支付卡网络及其信用卡处理供应商,以及三个美国。信用报告机构。

代表支付卡网络开展工作的调查团队仍在调查黑客活动,与万豪团队和美国当局分开。

在回答参议院小组委员会的问题时,索伦森还回答了美国国务卿迈克·庞培去年在“福克斯与朋友”采访中发表的声明,白宫官员将这次黑客行为归咎于中国国家黑客。

当被问及庞培的言论时,索伦森说:“简短的答案是我们不知道。” “即使从我们获得的信息中得出推论,我也感到不足。”

此处提供索伦森证词的录音。

在同一个听证会上,Equifax的新任首席执行官Mark Begor还接受了有关其公司2017年黑客攻击的采访。他没有透露任何新​​信息,因为Equifax官员已经在参议院委员会面前待了一年多,而有关2017年黑客攻击的细节已经众所周知。

如果用户有兴趣了解该公司是如何受到威胁的,我们之前曾在此处发表过一篇有关Equifax hack验尸的文章。

  • 郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。
标签: 黑客事件