Крупнейшая в мире сеть отелей сообщила об утечке данных 500 млн клиентов

Крупнейшая в мире гостиничная сеть Marriott International сообщила о масштабной утечке данных своих гостей. Всего хакеры могли получить информацию о 500 млн клиентов гостиниц. 327 млн учетных записей включали имя, дату рождения, пол, номер телефона, номер паспорта, адрес электронной почты и почтовый адрес. Некоторые аккаунты содержали данные банковских карт гостей, хотя и в зашифрованном виде.

Компания Marriott International основана в 1927 г. В 2016 г. она купила сеть отелей Starwood за $13,6 млрд. Объединенная сеть включает более 6700 гостиниц под 30 брендами в 130 странах мира. Центральный офис – в Бетесде (пригород Вашингтона, США). Выручка Marriott International в 2017 финансовом году превысила $22 млрд. Кроме бренда Marriott компания владеет Bulgari Hotels & Resorts, Ritz-Carlton, St. Regis, Sheraton, Autograh и другими.

В сообщении Marriott International сказано, что служба внутренней безопасности компании зафиксировала несанкционированный доступ к системе бронирования в начале сентября, хотя утечка могла начаться еще в 2014 г. Взломав базу сети отелей, злоумышленники скопировали данные о гостях и попытались удалить их из системы бронирования. Компания сумела предотвратить уничтожение информации и устанавливает точное число аккаунтов, затронутых атакой. Для дешифровки данных банковских карт клиентов требуется два специальных ключа, и пока неизвестно, удалось ли хакерам получить и их.

Marriott International передала информацию об инциденте правоохранительным органам и сотрудничает с ними. Компания начала уведомлять о взломе регуляторов. Акции Marriott подешевели на 5,6% на предварительных торгах в Нью-Йорке в пятницу, 30 ноября. Представитель сети отелей заявил Financial Times, что пока рано оценивать финансовые последствия атаки, но компания не ожидает ее долгосрочного влияния на свои показатели. Marriott International совместно со страховыми компаниями работает над этим вопросом.

Утечка данных клиентов Marriott – одна из крупнейших по числу людей, данные о которых попали к злоумышленникам. Антирекорд принадлежит компании Yahoo – в 2013 г. хакеры получили данные о 3 млрд аккаунтов пользователей сервиса, а в 2014 г. – еще о 500 млн. Президент и главный исполнительный директор Marriott International Арне Соренсон заявил, что глубоко сожалеет о случившемся. Он пообещал сделать все возможное, чтобы ответить на вопросы гостей. Для этого создан специальный сайт и работает колл-центр.

Сектор гостиничного бизнеса, ритейла и общественного питания оказался наиболее подвержен утечкам платежной информации, сообщала компания Infowatch по результатам собственного исследования. На эту отрасль пришлось 57,1% всех скомпрометированных платежных данных в 2016–2017 гг., а утекло 100 млн записей. На Россию пришлось около 10% всех утечек. Аналитик ГК InfoWatch Сергей Хайрук связывает резкий рост утечек платежных данных с цифровой трансформацией отрасли, внедряющей новые формы оплаты и взаимодействия с клиентом. Поэтому растут объемы информации, обрабатывающейся в торговых сетях, отелях, ресторанах, что и повышает интерес к ним со стороны злоумышленников, рассуждает аналитик. Внешних злоумышленников интересует ликвидная платежная информация, внутренних – информация о бизнесе компаний.

Злоумышленники могут использовать платежные данные для обналичивания средств пострадавших, например с помощью налоговых вычетов, оформления фиктивных банковских документов, кредитов и списания денег с карт для интернет-покупок, говорит представитель ГК InfoWatch Люсина Мартиросова. Персональные данные используют и для «социальной инженерии», фишинга или для рассылки спама и маркетинговых исследований. Хакеры могут и продать данные пользователей на черном рынке, но заинтересуют они скорее всего конкурентов сети. Хотя вряд ли кто-то после широкой огласки решится на этот шаг. Похожий случай был в августе, когда 130-миллионную базу данных китайского гостиничного холдинга Huazhu Group продавали за восемь биткойнов (около $54 000), но после огласки истории в СМИ цена была снижена до одного биткойна.

Если клиенты смогут доказать, что в результате утечки им нанесен ущерб, то смогут рассчитывать на значительные компенсации, отмечает Мартиросова. Например, Yahoo из-за утечки данных аккаунтов более 3 млрд пользователей в 2013-2014 гг. пришлось по решению суда компенсировать пострадавшим $50 млн.

Даже по российскому закону «О персональных данных» за утечку грозит ответственность вплоть до уголовной, передал через представителя управляющий партнер юридического бюро U & Partners Андрей Андреев. Если удастся доказать, что мошенники использовали персональные данные клиентов отелей, юридические лица можно оштрафовать на 25 000-50 000 руб. за каждый случай утечки, указывает он.

В суде будет иметь значение, виновна ли сеть гостиниц в утечке, а также был ли нанесен в результате ущерб, передал через представителя управляющий партнер коллегии адвокатов «Старинский, Корчаго и партнеры» Владимир Старинский. Речь идет о хакерской атаке и скорее всего вины Marriott в утечке нет, полагает юрист. Также пока неизвестно, получили ли хакеры ключи для дешифровки данных банковских карт, чтобы ими воспользоваться. А поскольку на Западе распространено страхование подобных рисков, велика вероятность, что для сети гостиниц финансовых последствий не будет, считает юрист.

Это действительно один из крупнейших взломов в истории, хотя реальные масштабы утечки еще нужно выяснять, говорит старший аналитик по безопасности «Лаборатории Касперского» Дэвид Эмм. Но уже сейчас очевидно, что защита у отелей сети Mariott Group оказалась недостаточной. Данные были зашифрованы, но хакерам, вероятно, удалось украсть и ключи шифрования, что говорит о том, что нужен был дополнительный уровень безопасности.

Утечка станет одной из важнейших в истории, уверен Эмм: не только из-за устрашающего объема украденной информации, но и потому, что утечке были подтверждены очень чувствительные персональные данные миллионов людей вместе с кредитными картами. Инцидент такого масштаба, несомненно, приведет к пересмотру политик приватности и общего отношения людей к тому, какими данными они делятся, уверен он.

Все клиенты, пострадавшие от утечки, получат уведомления, но стоит и самостоятельно выяснить у Marriott Group, были ли украдены их данные, а также сменить пароли, добавил Эмм.