Infracció de dades Marriott: passaports no xifrats

Marriott va dir avui que els equips d'analistes de dades i forenses havien identificat "aproximadament 383 milions de registres com a límit superior" per al nombre total de registres de reserves de convidats perduts. L'empresa encara diu que no té ni idea de qui va portar a terme l'atac i va suggerir que la xifra disminuiria amb el temps a mesura que s'identifiquin més registres duplicats.

El que va diferenciar l’atac de Starwood va ser la presència de números de passaports, que podrien fer molt més fàcil per a un servei d’intel·ligència el seguiment de persones que creuen fronteres. Això és particularment important en aquest cas: al desembre, el New York Times va informar que l'atac formava part d'un esforç de recollida d'intel·ligència xinès que, que es remunta al 2014, també va piratejar les asseguradores mèdiques dels EUA i l'Oficina de Gestió de Personal, que manté la seguretat expedients d’autorització a milions d’americans.

De moment, no es coneixen casos en què es trobés informació robada de passaport o targeta de crèdit en transaccions fraudulentes. Però per als investigadors de ciberatacs, això és només un signe més de que el pirateig el van dur a terme agències d'intel·ligència, no criminals. Les agències voldrien utilitzar les dades per als seus propis propòsits (la creació de bases de dades i el seguiment d’objectius de vigilància governamentals o industrials) en lloc d’explotar les dades per obtenir beneficis econòmics.

En conjunt, l'atac va aparèixer com a part d'un esforç més ampli del Ministeri de Seguretat de l'Estat de la Xina per compilar una enorme base de dades d'Americanos i d'altres amb posicions delicades del govern o de la indústria, inclosos els llocs on treballaven, els noms dels seus col·legues, contactes estrangers i amics , i on viatgen.

"El big data és la nova onada de contraintel·ligència", va dir el mes passat James A. Lewis, expert en ciberseguretat que dirigeix ​​el programa de polítiques tecnològiques al Centre for Strategic and International Studies de Washington.

Marriott International va dir que es van robar menys registres de clients del que es temia inicialment, però va afegir que es van robar més de 25 milions de números de passaport en l'atac cibernètic del mes passat. La companyia va dir avui que la pirateria d'informació personal més gran de la història no va ser tan gran com es temia, però per primera vegada va reconèixer que la seva unitat hotelera Starwood no va xifrar els números de passaport d'uns 5 milions d'hostes. Aquests números de passaport es van perdre en un atac que molts experts externs creuen que va ser dut a terme per agències d'intel·ligència xineses.

Quan Marriott va revelar l'atac per primera vegada a finals de novembre, va dir que es podria haver robat informació sobre més de 500 milions de convidats, tot procedent de la base de dades de reserves de Starwood, una important cadena hotelera que Marriot havia adquirit. Però en aquell moment, la companyia va dir que la xifra era el pitjor dels casos perquè incloïa milions de registres duplicats.

La xifra revisada continua sent la pèrdua més gran de la història, superior a l’atac contra Equifax, l’agència d’informació de crèdits al consumidor, que va perdre el permís de conduir i els números de la Seguretat Social d’uns 145.5 milions d’americans el 2017, cosa que va provocar la destitució del seu cap executiu i una gran pèrdua de confiança en l'empresa.

Un alt funcionari del Ministeri de Seguretat de l'Estat xinès va ser arrestat a Bèlgica a finals de l'any passat i extraditat als Estats Units acusat de jugar un paper central en el pirateig de firmes relacionades amb la defensa dels Estats Units, i d'altres van ser identificats en una acusació del Departament de Justícia Desembre. Però aquests casos no estaven relacionats amb l'atac de Marriott, que l'FBI encara està investigant.

La Xina ha negat qualsevol coneixement de l'atac de Marriott. Al desembre, Geng Shuang, portaveu del seu Ministeri d'Afers Exteriors, va dir: "La Xina s'oposa fermament a totes les formes de ciberatac i la controla d'acord amb la llei".

"Si s'ofereixen proves, els departaments xinesos competents duran a terme investigacions d'acord amb la llei", va afegir el portaveu.

La investigació de Marriott ha revelat una nova vulnerabilitat en els sistemes hotelers: què passa amb les dades del passaport quan un client fa una reserva o factura en un hotel, normalment a l'estranger, i lliura un passaport al secretari de recepció. Marriott va dir per primera vegada que es mantenien 5.25 milions de passaports al sistema Starwood en fitxers de dades senzills i sense xifrar, és a dir, que qualsevol persona del sistema de reserva els podia llegir fàcilment. Es van guardar 20.3 milions de passaports addicionals en fitxers xifrats, que requeririen una clau de xifratge mestra per llegir-la. No està clar quants dels implicats passaports dels Estats Units i quants provenen d'altres països.

"No hi ha proves que el tercer no autoritzat hagi accedit a la clau de xifratge principal necessària per desxifrar els números de passaport xifrat", va dir Marriott en un comunicat.

No es va saber immediatament per què es xifraven alguns números i d'altres no, tret dels hotels de cada país i, de vegades, de cada propietat, que tenien protocols diferents per gestionar la informació del passaport. Els experts en intel·ligència assenyalen que les agències d’intel·ligència dels Estats Units solen buscar el nombre de passaports d’estrangers que estan rastrejant fora dels Estats Units, cosa que pot explicar per què el govern dels Estats Units no ha insistit en un xifratge més fort de les dades del passaport a tot el món.

Preguntat sobre com manejava la informació Marriott ara que ha fusionat les dades de Starwood amb el sistema de reserves Marriott (una fusió que acabava de finalitzar a finals de 2018), Connie Kim, portaveu de la companyia, va dir: "Estem estudiant la nostra capacitat de moure's al xifratge universal de números de passaport i treballarem amb els nostres proveïdors de sistemes per entendre millor les seves capacitats, així com revisar les regulacions nacionals i locals aplicables ".

El Departament d'Estat va emetre un comunicat el mes passat en què deia als titulars del passaport que no entressin en pànic perquè el número sol no permetria a algú crear un passaport fals. Marriott ha dit que pagaria un nou passaport per a qualsevol persona que es trobés que la informació del passaport, piratejada dels seus sistemes, estava implicada en un frau. Però això va ser una mica de joc corporatiu, ja que no proporcionava cap cobertura als hostes que volien un nou passaport simplement perquè les seves dades havien estat preses per espies estrangers.

Fins ara, la companyia ha evitat abordar aquest problema dient que no té proves sobre qui eren els atacants i que els Estats Units no han acusat formalment la Xina en el cas. Però els grups privats de ciberintel·ligència que han analitzat la bretxa han vist forts paral·lelismes amb els altres atacs relacionats amb la Xina en aquell moment. El president i cap executiu de la companyia, Arne Sorenson, no ha respost a les preguntes sobre el pirateig en públic, i Marriott va dir que viatjava i va rebutjar la petició del Times de parlar sobre pirateria.

La companyia també va dir que hi va haver "8.6" milions de targetes de crèdit i dèbit "involucrades" en l'incident, però totes estan xifrades, i totes, excepte 354,000 targetes, havien caducat el setembre del 2018, quan es va descobrir la pirateria, que va durar anys.