شکاف امنیتی گروه هتل ماریوت، اطلاعات امنیتی ۵۰۰ میلیون نفر را فاش کرد
کاربرانی که برای حفظ حریم خصوصی و امنیت دادهها اهمیت قایل هستند، ممکن است دیگر بهسمت گروه هتلهای Starwood Points نروند. شرکت بینالمللی ماریوت، شرکت گردشگری آمریکایی است و در زمینهی خدمات هتلداری، مهمانداری و مدیریت بر مکانهای اقامتی و رستورانهای زنجیرهای فعالیت دارد، این شرکت در معرض شکاف امنیتی (Data breach) قرار گرفته است.
روز جمعه، پایگاه دادههای Starwood که یکی از شعب ماریوت است، اعلام کرد که حساب کاربری بیش از ۵۰۰ میلیون مشتری این پایگاه در بازهی زمانی چهارسال بهعضویت این پایگاه درآمدهاند، تحت تاثیر شکاف امنیتی قرار گرفته است. هکرها از سال ۲۰۱۴ میلادی به اطلاعات این پایگاه دسترسی داشتهاند و ماریوت در سپتامبر ۲۰۱۸ از این رخنه امنیتی مطلع شده است.
این بدان معنی است که اطلاعات مشتریان این شرکت در حدود چهارسال در معرض خطر قرار داشته و اطلاعات شخصی، مالی مسافران در معرض تهدیدی بالقوه بوده است. بیشک این رخنه امنیتی، بعد از هک ایمیلهای یاهو در سال ۲۰۱۳ بیش از ۳ میلیارد کاربر را تحت تاثیر قرار داد، یکی از بزرگترین شکافهای امنیتی تاریخ خواهد بود. ماریوت هنوز بهصورت دقیق مشخص نکرده است که هکرها تا چه سطحی به این اطلاعات دسترسی داشتهاند. پایگاه داده Starwood مسئولیت رزرواسیون را در چندین هتل از جمله W Hotels ،St. Regis و هتلها و استراحتگاههای شرایتون را برعهده دارد. بهنظر میرسد که اطلاعات کاربری حدود ۳۲۷ میلیون میهمان این هتلها تحت تاثیر قرار گرفته که شامل اطلاعات مختلفی است؛ این اطلاعات شامل نام، آدرس پستی، شماره تلفن، آدرس ایمیل، شماره گذرنامه، اطلاعات حساب کاربری، اطلاعات کاربری مربوط به هتلهای SPG، تاریخ تولد، جنسیت، اطلاعات ورود و خروج، تاریخ رزرو و روشهای ارتباط با افراد هستند.
پایگاه دادههای مربوطه، برای اطلاعات مالی از روشهای رمزگذاری قوی استفاده میکند. اما ماریوت اعلام کرده است، این احتمال را نمیتوان نادیده گرفت که هکرها توانسته باشند به اطلاعات مربوط به کارت اعتباری میهمانان این شرکت دسترسی داشته باشند.
ماریوت از تایید هویت دومرحلهای در حین پرداخت از طریق کارتهای اعتباری استفاده میکند ولی این احتمال وجود دارد که هکرها توانسته باشند هر دو مرحله را هک کنند و به این اطلاعات دسترسی پیدا کرده باشند.
شکاف امنیتی مربوط به ۱۷۰ میلیون کاربر باقیمانده دیگر، تنها محدود به مشخصات آنها و برخی دادههای دیگر میشود. این موضوع باعث تعجب برخی متخصصان حقوقی است که شرکتها، جمع آوری چنین اطلاعاتی را از مشتریان خود بیشتر مسئولیت خودشان میدانند تا به آنها به چشم یک فرصت تجاری نگاه کنند. برخی شرکتها از طریق فروش این دادهها، کسب درآمد میکنند. با این وجود، زمانی که چنین شکافهای امنیتی رخ میدهد، جریمههای سنگینی برای شرکتها درنظر گرفته میشود. اخیرا یاهو در شکاف امنیتی که در سال ۲۰۱۴ در حدود ۵۰۰ میلیون کاربر را تحت تاثیر قرار داد، مجبور به پرداخت ۳۵ میلیون به SEC شد. آیا این عدد جادویی برای شما آشنا نیست و شما را به یاد ماریوت نمیاندازد؟
ماریوت بهمنظور پاسخگویی به سوالات کاربران خود در مورد این شکاف امنیتی، وبسایت اختصاصی و مرکز تماس راهاندازی کرده است. همچنین برای کاربرانی که از سال ۲۰۱۴ تا سپتامبر ۲۰۱۸ از پایگاه داده Starwood استفاده کردهاند، اشتراک یکسالهی WebWatcher تهیه کرده است. WebWatcher سرویسی است که به کاربران در مورد حملههای هکری و رخنههای امنیتی برای سرقت دادهها هشدار میدهد. ماریوت از بروز چنین اتفاقی ابزار ناراحتی کرد ولی این ناراحتی نمیتواند کار خاصی برای مشتریانی که در معرض این شکاف امنیتی قرار گرفتهاند، انجام دهد.