lunes, 7 de enero de 2019

5 millones de pasaportes descifrados en el ataque a Marriott


La cadena de hoteles admitió que cinco millones de pasaportes robados en el incidente por un pirata informático desconocido no estaban cifrados.

“Una pregunta clave que debemos hacer es por qué los hoteles necesitan almacenar los números de pasaporte. RGDP obligó a las compañías a considerar si los datos personales que poseen y que están pidiendo a los clientes son realmente necesarios y, de ser así, cómo protegerlos adecuadamente", dijo Matt Aldridge, arquitecto senior de soluciones de Webroot,  quien calificó la difícil situación de Marriott como "un gran ejemplo de demasiados datos que se recopilan y retienen".

Los gobiernos locales de algunos países requieren que los datos de los visitantes se registren con fines de seguridad nacional. "Si este es el caso, los datos personales relevantes deben transferirse directamente al sistema de control de fronteras, inteligencia o aduanas correspondiente y no deben ser retenidos por el hotel", explicó Aldridge. "Este es solo un ejemplo entre muchos de los casos en que se solicitan y almacenan datos sin la debida justificación y, ciertamente, sin las medidas adecuadas para protegerlos".

"Cada dato del cliente que posee una compañía representa un punto potencial de ataque y cada vez que un socio o agente accede a esos datos, también se convierte en un punto potencial de ataque", dijo el CEO, máximo responsable de la gestión y la dirección administrativa de la compañía, de Uniken, Bimal Gandhi. "Los hoteles, las empresas hoteleras, los bancos y las entidades de comercio electrónico se están moviendo hacia nuevas formas de permitir que los clientes se autentiquen a través de otos canales, sin necesidad de ninguna PII (Información de Identificación Personal )".

El resort y el operador del hotel  descubrieron en septiembre que los atacantes maliciosos habían pasado más de cuatro años dentro del sistema de reservas de Starwood, obteniendo acceso a sus registros que incluían nombres, información de tarjetas de pago y otras PII.

Los ciberdelincuentes obtuvieron acceso, copiaron y cifraron una gran variedad de datos de los huéspedes que utilizaban su sistema de reservas, dijo la compañía, y la violación se descubrió solo cuando los cibercriminales intentaron eliminar los datos del sistema estadounidense. Este evento llevó a una investigación adicional, que descubrió que la brecha de seguridad se remontaba al año 2014.

Marriott adquirió Starwood Hotels en 2016, lo que indica que el malware ya estaba instalado y aún no se había descubierto antes del cierre del acuerdo.


No hay comentarios:

Publicar un comentario