Vier jaar lang hackers op bezoek? Het overkomt de beste (maar is niet nodig)

Vier jaar lang hackers over de vloer. Dan heb je ergens zitten slapen zeker? Het kan de beste overkomen, zo bleek maar uit het incident dat Marriott International overkwam. In deze blog vertelt Nick wat er mis ging, en hoe het voorkomen had kunnen worden.

Overname

Marriott International is een internationale, beursgenoteerde, hotelketen uit de VS met meer dan zevenduizend hotels. We kunnen gerust vaststellen dat we het hier over een grote jongen hebben die in business is. Op 16 november 2015 kondigde Marriott aan resortgroup Starwood op te nemen in de familie. So far, so good. Zou je denken.

Vier jaar lang virtueel rondstruinen

Op 30 november 2018 kondigde Marriott een inbreuk op de beveiliging aan waarbij de persoonlijke gegevens van 500 miljoen hotelgasten uit de Starwood-gastreserveringsdatabase gestolen bleken te zijn. Op zich al erg genoeg, maar wat bleek toen de hotelketen de hack liet onderzoeken? Dat dit datalek al bestond sinds 2014. Destijds waren cybercriminelen in staat Starwood-systemen te infiltreren en malware uit te voeren via een webshell, inclusief tools voor externe toegang en software voor het verzamelen van inloggegevens. Vier jaar lang hebben ze kunnen rondstruinen in het gastreserveringssysteem van dochter Starwood en gegevens kunnen verzamelen, zoals namen, e-mailadressen, telefoonnummers, paspoortnummers, reisgegevens en informatie over loyaliteitsprogramma's, zonder dat iemand het opmerkte.

Forensisch experts aan de slag

Pas na vier jaar merkte het personeel een waarschuwing op van een interne beveiligingstool over een poging om toegang te krijgen tot de Starwood-gastreserveringsdatabase in de Verenigde Staten. Hackers hadden niet alleen informatie gekopieerd en versleuteld, maar ook maatregelen genomen om deze te verwijderen. Forensische experts die door Marriott in de armen werden genomen, hebben uiteindelijk de gegevens kunnen ontsleutelen. Eind goed, al goed?

Boete: 99 miljoen pond

De toezichthouder van het Verenigd Koninkrijk, ICO, besloot dat het bedrijf niet voldeed aan de beveiligingsnormen die vereist zijn door de AVG als gevolg van het nalaten om ‘passende technische of organisatorische maatregelen te nemen’ bij het verwerken van gegevens. Kortom, Marriott International had niet voldaan aan de gegevensbeschermingsvereisten die worden afgedwongen door de AVG-voorschriften van 2018 en kreeg een boete opgelegd van 99.200.396 pond. Op basis van geconstateerde beveiligingsverbeteringen en de economische schade veroorzaakt door COVID-19 heeft ICO vorige week de boete verlaagd naar 18,4 miljoen pond. Een geluk bij een ongeluk.

Voorkomen is beter dan genezen

Een datalek is op zich al erg genoeg. Maar ontdekken dat er al vier jaar lang hackers in je systemen ronddwalen zonder dat jij het weet, moet een behoorlijke schok zijn. En het overkomt de besten, dat maakt dit incident wel duidelijk. Door vooraf hun systemen – of de systemen van Starwood, vóór de overname – te laten controleren, hadden ze zichzelf veel geld kunnen besparen. Dan hebben we het nog niet eens over de mogelijke reputatieschade. Onderschat ook het belang van voortdurende logging en monitoring niet. Dan weet je in no time dat er iets gebeurt dat niet in de haak is, en kun je achterhalen wat er is gebeurd, wie het heeft gedaan en hoe je een volgende misdaad kunt voorkomen. Want uiteindelijk is voorkomen nog steeds een stuk beter dan genezen...

Nieuwsgierig?

Wij kunnen checken hoe goed jouw systemen beveiligd zijn. Kunnen hackers eenvoudig naar binnen sneaken doordat er – misschien onnodig – bepaalde verbindingen naar buiten je bedrijfssysteem open staan? Zijn de gebruikersnamen en wachtwoorden wel veilig genoeg? Nieuwsgierig hoe wij werken? Neem gerust contact met ons op via 0161 45 44 49 of stuur een mail naar cyber@schippers-it.nl.