台海新闻网

万豪集团CEO首谈黑客入侵,分享事后取证结论

本文转载自支钉网,原作者ZDNet。 欧洲智慧城市编辑这篇文章供读者参考

万豪国际CEO阿恩索伦森(Arne Sorenson)日前在美国参议院小组委员会听证会上作证,详细披露了去年连锁酒店大规模安全入侵的最新细节。

万豪首席执行官在事件发生后首先谈论黑客攻击并分享证据。

在参议院国土安全委员会和政府事务常设小组委员会面前,索伦森公开向万豪的客户道歉,并澄清了黑客得到中国政府支持的谣言。

Soreson说万豪在去年9月8日第一次意识到可能存在安全问题,根据一份事先准备好的证词。 当时,管理喜达屋客户预订数据库的信息技术公司埃森哲积极联系了该公司。

万豪集团此前于2016年9月收购喜达屋酒店,此后一直致力于将喜达屋客户转移到自己的客户预订系统 然而,在安全事件发生时,喜达屋系统和万豪自己的主网络仍未合并。

但是在2018年9月8日,埃森哲通知万豪的信息技术部门,他们的一个安全产品(称为小发猫Guardium的数据库监控系统)在9月7日,也就是一天前,在喜达屋的客户预订数据库中发现了一个异常

Sorenson回忆道,“Guardium的警报是由管理员帐户的异常查询触发的。当时,一个帐户查询了数据库中的表总数。 "

这种查询通常被认为是危险的活动,因为运行在数据库上的软件通常不需要进行这种查询。 换句话说,这意味着只有人工操作员才能手动进行这样非常具体的查询。

Sorenson说,“作为安全调查的一部分,我们很快发现使用相应凭据的员工实际上并没有执行这一查询操作。” “

这时,万豪员工开始意识到他们可能面临非法行为 但当时,他们不确定这是一个大事故还是一个容易解决的恶作剧入侵。毕竟,他们还没有确定攻击者是否真正访问过任何用户数据。

万豪指出,它在9月10日引入了第三方法医调查员,以帮助其信息技术人员调查可能的违规行为。 取证公司在不到一周的时间里就在喜达屋的信息系统上发现了恶意软件。

首席执行官作证说,“调查人员发现了一种远程访问特洛伊木马,这是一种恶意软件,允许攻击者悄悄地访问、监控甚至控制目标计算机。” 我在调查那天被告知,第二天整个董事会都被告知。 “索伦森继续说道,并补充道,要揭露攻击的全部范围显然需要大量的取证工作。 然而,尽管喜达屋信息技术系统中确实存在RAT,但没有证据表明未经授权的攻击者能够访问当时喜达屋客户预订数据库中的实际数据。

但是调查并没有停止 截至去年10月,取证公司发现了Mimikatz,这是一种渗透测试工具,被安全研究人员和黑客广泛用于在设备内存中搜索用户名和密码。 该工具可用于帮助黑客获取其他喜达屋系统的密码,从而将密码导入信息技术网络的其他部分

然而,和以前一样,调查人员仍然没有发现黑客访问客户数据的任何确切证据。

去年11月,调查人员发现黑客自2014年7月以来一直居住在喜达屋的信息技术网络中。 这个时间点甚至早于万豪的收购,所以黑客的意图从“可能不好”变成了“必然不好”

这意味着黑客已经潜伏了两年多,但没有被发现,这使得整个调查更加困难,因为现在取证公司不得不面对多年积累的大量日志记录。

请原谅我再说一遍到目前为止,仍然没有证据表明黑客已经访问了客户数据。

但是坏消息终于来了。确切时间是去年11月中旬。 索伦森在这份声明中陈述了他们是如何以及何时意识到黑客确实窃取了喜达屋的客户数据,我们摘录如下:

11月13日,我们的调查人员发现他们正在检查的设备中删除了两个压缩加密文件。 因为文件是加密的,所以无法知道确切的内容。 还有证据表明,这两份文件可能已经从喜达屋的网络中删除。 六天后,即2018年11月19日,调查人员最终成功解密了这些文件,发现其中一份文件包含一份来自喜达屋客户预订数据库的访客数据表格,而另一份文件包含一份出口护照信息表格。

这时,判决终于到了,情况绝对不容置疑 黑行动已经成功侵入喜达屋的信息技术网络,并窃取了其客户预订数据库中的详细客户信息。

主要媒体多次报道了以下情况 万豪及时通知了政府当局,并于去年11月30日公开披露了数据泄露。 在分别于2019年1月和3月进行两次统计更新后,我们意识到安全事件总共影响了近5亿客户。

根据索伦森准备的声明和喜达屋违规通知网站上的最新消息,我们收集了以下万豪违规的最新统计数据:

3.83亿客户记录

1850万加密护照号码

525万未加密护照号码(其中66.3万来自美国)

910万加密支付卡号

38.5万支付卡号在事件曝光时仍然有效

万豪集团CEO再次表示,调查没有发现黑客获得用于加密支付卡号的密钥的证据,这意味着大部分外出支付卡号实际上不能被他们使用。

此外,受影响的酒店客户总数约为3.83亿,实际数字可能更低

Sorenson指出,“在大多数情况下,同一个客户似乎有多个记录,但由于数据本身的重要性质,我们无法轻松消除重复数据。” 我们无法确定有多少记录具有相似的名称或不同的地址,但存在相同的名称,我们也无法断言它们是否代表同一个人。 然而,我们非常确定所涉及的信息必须少于3.83亿不同的客户。 “

索伦森表示,披露这一违规行为也耗费了万豪大量精力,包括通知联邦调查局、美国各州总检察长、美国联邦贸易委员会、美国证券交易委员会、来自不同国家的20家监管机构、四大支付卡网络和信用卡处理供应商,以及三家美国信用报告机构等。

支付卡网络派出的调查组仍在继续调查黑客活动,相关行动已经独立于万豪和美国政府当局

在回答参议院小组委员会的问题时,索伦森还谈到了美国国务卿麦克庞贝去年在接受采访时发表的声明,当时白宫官员将此事归咎于中国黑客。

当被问及庞贝的断言时,索伦森说,“简单地说,我们不知道情况是否如此。” 然而,从我们已经获得的信息来看,没有足够的证据得出这样的结论。 “

在这次听证会上,Equifax的新任首席执行官马克贝戈也收到了关于该公司2017年黑客事件的询问。 他没有透露任何新的信息,因为Equifax官员已经与参议院委员会沟通了一年多,2017年的大规模信贷数据泄露也不是什么秘密。

这篇文章的来源和出处已经标记。版权属于原作者。如果有侵权行为,请联系我们。

?
500万彩票网 广东11选5 500万彩票网 500w彩票 500w彩票 500w彩票 500w彩票 500万彩票网 500w彩票 500万彩票网 <修真者穿越玩网游>| <97言情阅读小说网>| <520免费小说阅读网>| <神荒>| <棋牌游戏>| <完美世界人物原画>| <都市言情小说排行>| <都市小说完本>| <亚马逊电子书阅读器>| <穿越之神医王妃>| <穿越np小说排行>| <神荒>| <全本免费小说阅读网>| <已完结免费小说阅读网>| <小说完美盛宴sodu>| <波克棋牌>| <棋牌游戏>| <军旅言情小说排行榜>| <重生小说排行榜>| <穿越np小说排行>| <青春校园小说>| <玄幻小说阅读网完结版>|