Marriott, Hacklerların 383 Milyon Misafir Kaydına Eriştiğini Düşünüyor

Marriott, büyük veri ihlaline ilişkin orijinal tahminini azalttı fakat yine de etkilenen insan sayısı çok büyük.

Adli ve analitik ekiple birlikte yürütülen soruşturmanın ardından otel grubu geçtiğimiz günlerde yaptığı açıklamada, bilgisayar korsanlarının 383 milyon misafir kaydına eriştiğini düşündüğünü söyledi. Kasım ayında, bu sayının tahmini 500 milyon olduğunu belirtmişti.

Bu biraz düşük olan sayıyla bile Marriott olayı, 147,7 milyon Amerikalı’nın kişisel verilerini açığa çıkaran Equifax’ı iki katlıyor ve tarihteki en büyük kişisel veri ihlallerinden (data breach) biri olma ünvanını koruyor. Milyonlarca insan hakkında bilgi toplayan ve depolayan büyük şirketler için veri ihlali ortak bir sorun haline gelmiş durumda. 2018 yılında Facebook ve Reddit gibi teknoloji devleri veri ihlalleri konusunda oldukça büyük sıkıntılar yaşadı. 

Bilgisayar korsanları; sosyal güvenlik numaraları, doğum tarihleri, e-posta adresleri ve kredi kartı numaraları gibi değerli bilgileri çalmak için yetersiz korumalara sahip şirketleri hedefliyor.

Kasım ayında Marriott, hacklerların; 2016 yılında satın aldığı Starwood’un rezervasyon veritabanına sızdığını açıkladı. Marriott; Sheraton, W Hotels, Westin, Le Meridien, Four Points by Sheraton, Aloft ve St. Regis gibi otel gruplarını içeren Starwood grubunun 2014’ten beri saldırıya uğruyor olduğunu söyledi.

Marriott’un başkanı Arne Sorenson, “Müşterilerimize ve ortaklarımıza, neler olduğunu anlamaya çalışırken bu olayı ele almaya yönelik devam eden çabamıza dayanan güncellemeleri paylaşmak istiyoruz.” dedi.

Pasaport numaraları ele geçirildi

Marriott’un ihlalinde çalınan veriler arasında isimler, adresler, telefon numaraları, kredi kartı bilgileri, e-posta adresleri, pasaport numaraları ve seyahat bilgileri yer alıyor.

Şirket, saldırı sırasında yaklaşık 5,25 milyon şifresiz pasaport numarasının ve 20,3 milyon şifreli pasaport numarasının çalındığını açıkladı.

Şirket yaptığı açıklamada, “Yetkilendirilmemiş üçüncü tarafın şifreli pasaport numaralarının şifresini çözmek için gereken ana şifreleme anahtarına eriştiğine dair bir kanıt bulunmuyor.” dedi.

Marriott, etkilenen misafirler dolandırıcılık kurbanı olduklarını kanıtlayabildiği takdirde yeni pasaportların ödemesini yapmayı teklif etti. Bu ise şirkete yaklaşık 577 milyon dolara mal olabilir.

Marriott, ayrıca ihlalde yaklaşık 8,6 milyon şifreli kredi kartı numarasının çalındığını söyledi. Çalınan ödeme kartı numaralarının kaç tanesinin şifresiz olduğu hala araştırılıyor.

Peki Marriott siber saldırısının arkasında kim var? Reuters, Washington Post ve New York Times gazeteleri soruşturmaları yapanlarının sorumlunun Çin olduğuna inandıklarını söylemiş olsa da bu konuda kesin bir bilgi bulunmuyor. Aralık ayındaki bir Fox ve Friends bölümünde Dışişleri Bakanı Mike Pompeo, Marriot olayının arkasındaki ismin Çin olduğunu söyledi.

Adalet Bakanlığı ve Dışişleri Bakanlığı Pompeo’nun sözlerini desteklemeyi reddetti. Kanun yapıcılar şirketleri siber güvenliklerini iyileştirmeye çağırdı ve senatör Ron Wyden, diğer şeylerin yanı sıra, veri koruma çabaları hakkında yalan söyleyen CEO’lar için hapis cezası içeren bir Tüketici Veri Koruma Yasası önerisi sundu.

Etiketler