4 Декабря, 2018

Security Week 49: взлом Dell и Marriott

Лаборатория Касперского

Прошедшая неделя отметилась двумя крупными утечками персональных данных пользователей. Компания Dell выявила вторжение в собственную сеть. Утекли адреса и имена клиентов, а также хешированные пароли, которые были принудительно сброшены для всех пользователей. Утечка в сети гостиниц Marriott оказалась масштабнее. Еще в 2014 году взломщики получили доступ к клиентской базе данных Starwood Hotels — эта сеть гостиниц была приобретена Marriott в 2016 году.

Несанкционированный доступ к базе клиентов был обнаружен только в сентябре этого года. По предварительным данным, пострадали 500 миллионов клиентов сети Starwood, а у 327 миллионов гостей утекли имена, адреса физические и электронные, номера телефонов и паспортов, даты бронирования и другая приватная информация. Это очень серьезная утечка, сравнимая с атакой на сервис Yahoo.

В достаточно сдержанном сообщении на сайте Dell говорится об обнаружении атаки 9 ноября. За три с лишним недели не удалось достоверно установить факт кражи пользовательской базы данных; известно только, что имел место несанкционированный доступ к ней. Принудительный сброс паролей всех клиентов компании, зарегистрированных на Dell.com, таким образом, является дополнительной мерой предосторожности. Компания призывает своих пользователей использовать стойкие пароли и не использовать пароли повторно на разных сервисах.

Интересно посмотреть на рекомендации Dell по созданию надежных паролей. Минимум 8 знаков, большие и маленькие буквы, как минимум одна цифра. Не использовать очевидные слова, например фамилию или название улицы. Предлагается придумать кодовую фразу, из первых букв которой создать пароль. Также подробно объясняется надежность защиты паролей с помощью хеширования на стороне компании: конкретный алгоритм не раскрывается, но сообщается, что он был проверен в ходе независимой экспертизы.

В целом Dell показывает хороший пример реакции на киберинцидент: клиентов уведомили, утечку данных прекратили, наняли компанию для аудита безопасности, известили правоохранительные органы. И все это при (предположительно) небольшом масштабе утечки данных, хотя дело тут не только в паролях: список клиентов Dell тоже имеет ценность и, увы, может использоваться для дальнейших атак уже на них.


А вот у Marriott все гораздо сложнее. Судя по сообщению компании, несанкционированный доступ к базе данных Starwood Hotels — на тот момент независимой организации — был получен еще в 2014 году, и покупка конкурирующей сети гостиниц не помогла обнаружить утечку данных. Только восьмого сентября этого года некая «внутренняя система безопасности» зафиксировала попытку доступа к базе данных. Дальше было расследование, в ходе которого нашли зашифрованную копию базы данных: предположительно она была скопирована для последующей эксфильтрации из корпоративной сети. Сам факт скачивания базы данных не был зафиксирован, но учитывая, что корпоративная сеть была взломана на протяжении целых четырех лет, можно не сомневаться, что у злоумышленников был доступ к данным клиентов.

А к каким? Оценить ущерб удалось после расшифровки копии данных. Предположительно пострадали 500 миллионов клиентов сети Starwood. 327 миллионов записей содержат полную информацию о клиенте: когда заезжал и выезжал из отеля, почтовый адрес, номер паспорта и так далее. Сведения «о ряде клиентов» также включали зашифрованные платежные данные — номер кредитной карты и срок действия. Есть вероятность, что у взломщиков есть доступ к информации, позволяющей эти платежные данные расшифровать. Для остальных (предположительно) 100+ миллионов клиентов утекла ограниченная информация о имени и адресе.

Можно предположить, что проблемой стала именно интеграция свежеприобретенной компании, включая ее информационные сервисы, точнее, отсутствие таковой: Starwood после покупки продолжала работу как независимая структура (отчасти поэтому отели, принадлежащие непосредственно сети Marriott, не пострадали). Понятно, что такие крупные бизнес-сделки занимают очень много времени, и не исключено, что утечка данных была обнаружена как раз в ходе попытки слияния двух разных IT-систем. Пострадавших клиентов обещают уведомить по электронной почте и предлагают бесплатную подписку на сервис, отслеживающий появление приватных данных в сети. Обещано и усиление защищенности корпоративной инфраструктуры Starwood.

Утечка данных из Marriott имеет много общего с кражей личных данных пользователей электронной почты Yahoo. Тогда тоже была обнаружена утечка данных о 500 миллионах пользователей, взлом также долго не могли обнаружить — утечка предположительно произошла в 2014 году, а выявили ее в 2016-м. В октябре прошлого года стало известно о другом инциденте, в ходе которого предположительно утекли данные всех трех миллиардов пользователей компании. Наконец, Yahoo на тот момент была в процессе переговоров о продаже бизнеса компании Verizon, но об утечке стало известно до сделки, а не после. В результате стоимость компании при поглощении упала на 350 миллионов долларов — считай, прямой финансовый ущерб от кибервзлома.

Даже если данные кредитных карт клиентов Starwood не пострадали, киберпреступники активно монетизируют доступ к аккаунтам программ лояльности самих гостиничных сетей. В небольшом исследовании киберкриминальных расценок эксперта «Лаборатории Касперского» Дэвида Якоби можно получить представление о ценности учетных записей различных сервисов на черном рынке. Аккаунты Netflix, Spotify, Steam уходят по паре долларов за штуку в розницу, и за несколько центов — если оптом. За 10 долларов можно получить 100 тысяч комбинаций из электронной почты и пароля пользователей из конкретной страны. Регулярная смена паролей и использование уникального пароля для каждого сервиса определенно пойдет на пользу всем, независимо от новостей об очередном крупном взломе.

Disclaimer: Мнения, изложенные в этом дайджесте, могут не всегда совпадать с официальной позицией «Лаборатории Касперского». Дорогая редакция вообще рекомендует относиться к любым мнениям со здоровым скептицизмом.