万豪数据泄露突出了基本失败
苏格兰政府和Nesta发起健康数据挑战
六天晚了,微软揭示了神秘补丁KB 4033637的含义
BOT生成的评论沼泽FCC,敦促净中立倾覆
英国名叫欧盟的第六大消费者云服务
TIBCO的管弦乐队收购将意味着“更快的IT Intepation”
苹果收购床堆的推理
这是Apple iOS 11发布日期......
Radisson Hotel Group可以是GDPR测试案例
巨大的Android升级您可能没有注意到
竞选人员要求法院揭示五只眼联盟间谍活动的程度
Tableau转换为其BI产品的订阅定价
英格兰高速公路展示了肯特的连通汽车
AI Player Alphago播放中国冠军
纯存储使大型混合推动云数据服务
Snake Cyber​​espionage Malware已准备好咬Mac用户
金融网络犯罪组滥用Windows应用程序兼容性功能
三星与新的Galaxy S8有很多东西可以证明
Nutanix将其光束延伸到私有云部署
三星宣布推出Dex Dock新的Galaxy S8和S8 +智能手机
面试:Sam Lowe,首席技术官,StreetBees
Wannacry边界国家网络紧急情况
谷歌的浓缩咖啡网络技术将SD-WAN达到互联网规模
增加个人数据的价值是21世纪的挑战
赶上适应性见解和未来反思
DXC在亚洲进行数字转型推动
办公室365用户通过身份验证失败锁定
Xen Hypervisor面向第三个高度关键的VM逃生错误10个月
IBM和Red Hat Mega-Merger:谁能受益最多?
CityFibre背带泵2.5亿英镑进入全纤维宽带
Igneous增强非结构化数据管理产品
丹麦政府推出广泛的数字服务项目
修补程序将基于英特尔的PC与Enterprise Bug推出下周
2018年前10名北欧IT故事
Micron今年晚些时候发货英特尔Optane竞争对手
IBM收购了34bn混合云推动的红帽
芬兰政府宣布研究和开发生态系统
由于英国领导人的冷漠,网络弹性缺乏
公共委员会奥克尔·奥尔委员会的前所未有的行动对Facebook非常糟糕
机器人送货服务击中米尔顿凯恩斯的街道
俄罗斯人加速使用电子付款后使用更少的现金
AMD共享Ryzen 3,移动芯片和Vega GPU的时间
SUSE FROPLS - 他们(感知)疯狂的方法
巴林如何计划成为一个区域金金气枢纽
为什么科技产业需要道德指南针
谷歌正在帮助建立另一个亚太潜艇电缆
从2005年宣行事业中发布了BT
美国FCC在许多业务数据线上结束价格上限
PAC对英国边境和新习俗IT系统有“严重关切”
民意调查:数据非常碎片,这是最担心的
您的位置:首页 >科技 > 消费电子 >

万豪数据泄露突出了基本失败

2021-08-17 17:44:17 [来源]:

国际万豪酒店是一家最新的酒店集团,漫长而不断增长的列表,以承认个人数据泄露,并警告了客人的毛雪屋宣言的数据库受到损害,可能会暴露大约一半的记录。

本集团在其网站上表示,它已经采取了措施来调查和解决2014年9月10日至9月10日之间的饥饿物业的安全事件,这可能在违反数据保护法规的罚款方面对该业务进行严重影响世界各地。

这意味着酒店集团已经花了20天的时间来提醒受违约影响的人,而虽然它进行了调查,以确定发生了什么。

Simon McCalla是代理首席技术官(CTO)的首席技术官(CTO)表示,它需要4年来识别违规涂料的欺诈系统,他们已经到位的安全系统以及他们对业务外部威胁的威胁。

“确保威胁监控和安全系统能够在首次与关键系统互动时捕获威胁是至关重要的。主动防守比回顾更好,“他说。

Joseph Carson是猫科学的首席安全科学家表示,违约者将提出问题,当万豪关于违约时,他们是否遵守了欧盟一般数据保护条例(GDPR)等全球法规,这会产生金融罚款年营业额€20米或4%。

Hotel Group表示尚未完成数据库中的重复信息,但相信它包含最多约5000亿客人的信息。

此类客人约为3.27亿,这些信息包括一些名称,邮政地址,电话号码,电子邮件地址,护照号码,喜达屋首选访客信息,出生日期,性别,抵达和离境信息,预订日期和沟通首选项。

对于一些,信息还包括支付卡号和支付卡到期日期,但使用高级加密标准加密(AES-128)加密支付卡号。

Hotel Group表示,“在这一点上,有两个组成部分需要解除支付卡号码,目前,万豪尚未排除两者都采取的可能性。”

对于剩下的客人,信息仅限于名称,有时是其他数据,如邮政地址,电子邮件地址或其他信息。

安全评论员已将受损的信息描述为网络犯罪分子的潜在的“金矿”,以犯下欺诈和其他罪行,并表示违约应作为所有企业的“唤醒电话”,以更加认真地为客户提供安全的数据。

“这遵循了我们今年对航空业袭击的趋势。这些,以及相关的旅行和酒店部门,流程和存储巨额的高价值个人信息,如护照号,信用卡详细信息等等,“英国和爱尔兰区域总监Aatish Pattni表示,网络安全公司Link11。

万豪表示,它报告了法律执法的事件,即它继续支持他们的调查,并已经开始通知监管机构。

酒店集团声称它“迅速移动”,以遏制事件,并在“领先”的安全专家的帮助下进行调查。Marriott表示,它已经建立了一个专门的网站和呼叫中心来处理客户咨询。

Marriott于2018年11月30日开始向受影响的客人发送电子邮件地址位于喜北伍特客人预订数据库,提供一年的免费信用监控。

安全评论员说突发再次强调保护个人数据后追捧的重要性,并突出显示一些基本的安全失败,例如在他们解锁的数据资源中不保持加密密钥。

Matt Middleton-Leal,Netwrix的欧洲总经理表示,万豪已承认,黑客可能还采取了解密所需的信息,以指向存储在同一系统上的加密密钥。

“这是一个非常基本的错误,这似乎对酒店集团造成了灾难性的后果。添加到哪种情况下,似乎这一违规可能已经过到2014年,这表明该组织的检测能力缺乏。

“这对公司能够监控用户行为,检测异常并实时终止可疑会话是至关重要的。组织委托有丰富属于客户的个人和财务数据,有责任保护这一点。他们可以并必须更好地避免基本的安全失败,让他们的客户开放欺诈,“他说。

Ilia Kolochenko,CEO和Web安全公司高科技桥梁的创始人表示,该事件似乎是与不安全的Web应用程序相关的数据违规。

“许多大型公司仍然仍然没有对其外部应用的最新库存,更不用说进行持续的安全监控和增量测试。他们尝试不同的安全解决方案,没有一致和连贯的应用安全策略。显然,有一天这样的方法将失败。“规定,例如GDPR,不一定有助于帮助。在过去的两年中,许多公司过度关注纸张上的GDPR,忽略了由于预算和资源有限而忽略了实际的安全要求。管理层往往对遵守的形式主义方法往往满足,无视网络安全和隐私的实际方面,“他说。

其他评论员表示,违约还强调了合并和收购的安全影响。

“在这种情况下,当万豪获取的喜达屋时,需要将新收购的基础设施,应用程序和系统视为一个业务危重风险,直到可以识别和映射新的扩展攻击表面并优先考虑风险降低,”Simon Roe说,Outpost24的产品经理。

“使用您的处置的所有工具 - 漏洞扫描,应用程序安全工具,第三方穿透测试。虽然我们不知道在合并之前和之后如何处理安全性,但鉴于攻击者之前的时间长短,而且在之后,在过渡期间,很容易假设某些事情已经消失了,“他说。

Marriott International收购喜达屋2016年,包括W酒店,喜来登,勒曼·梅里迪安和喜来登四点。幸运的是,万豪品牌酒店使用单独的预订系统,意味着万豪不受违规影响的影响。

鉴于纯粹的偷窃和泄露的个人数据现在可以在黑暗的网络上纯粹的扩散依赖于过时的安全方法,令人违背依赖于过时的安全方法(如偷窃和泄露的个人数据)现在可以在黑暗的网络上纯粹的扩散,强调了“纯粹的愚蠢”。

公司持有的每一条客户信息代表潜在的攻击点,每次合作伙伴或代理商都会访问它,那么潜在的攻击点也是Banghi,Uniken

“公司持有的每一条客户信息代表潜在的攻击点,并且每次伴侣或代理都会访问它,那么它也是一个潜在的攻击点。酒店,酒店公司,银行和电子商务实体均致力于更新的方法来使客户能够在频道上验证自己,而无需任何个人数据。

“寻求横幅凭证填充的客户面向客户的商务和金融机构正在越来越多地寻求超越个人数据认证,以更高级的方法,这些方法不要求用户知道,制造或接收并手动输入验证因素以消除坏的能力演员猜测,Phish,凭证 - 东西,社会工程师,模仿或捕获进入网络的路

“依赖基于加密密钥的身份验证的隐形多乐电阻认证解决方案与设备,环境和行为技术相结合,提供了这样的解决方案。通过他们的本性,他们易于使用,无形地发布和利用,删除人为错误,以及违反凭证填充和其他共同攻击,“他说。

关于国家网络安全中心的发言人表示:“我们正在与合作伙伴合作以更好地了解影响Marriott International的数据泄露以及它如何影响客户。“NCSC网站包括对认为它们受到数据泄露影响的人的建议,包括可疑电话的指导和可在数据违约之后发送的有针对性的电子邮件。”我们还建议人们对任何可疑活动保持警惕他们的银行账户和信用卡,如果有疑虑,请联系他们的金融提供者。“

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。