Marriott-hack: Kina-suspekt, 500 mio. ofre, 4 års hacking
Et Starwood-mærket serverrum med sammenfiltrede Ethernet-kabler og en bærbar computer, der viser en web shell-grænseflade, som symboliserer sårbarheden udnyttet i Marriotts databrud, der berørte 500 millioner gæster.
Sag

Marriott-hack: Kina-suspekt, 500 mio. ofre, 4 års hacking

Marriott International oplevede et massivt databrud, hvor personlige oplysninger fra op til 500 millioner gæster blev kompromitteret. Bruddet blev opdaget i 2018 og menes at have stået på i flere år.

SSusanne Sperling
5 min read
0 views

Fakta Box

Omfang af Databruddet500 millioner gæster kompromitteret
Tidsrum for Uautoriseret AdgangJuli 2014 til september 2018
Opdagelsesdato8. september 2018

Sep 2018: Marriott-alarm viser 4 års skjult Starwood-brud

Et automatiseret sikkerhedsværktøj på Marriott Internationals servere slog alarm i september 2018. Dette varslede et af historiens største databrud, en digital katastrofe, der havde udspillet sig i det skjulte i hele fire år. Kernen til dette massive databrud lå begravet i Starwood Hotels' systemer. Marriott International havde overtaget hotelkæden i 2016, men tilsyneladende uden at opdage de kritiske sårbarheder, som hackere allerede aktivt udnyttede. Historien om Marriott-skandalen er mere end et teknisk uheld. Det er en fortælling om cyberkriminalitet, der afslører globale virksomheders sårbarhed over for hacking, nærer mistanke om statssponsoreret spionage, og understreger de alvorlige konsekvenser af at undervurdere den konstante cybertrussel.

Bagdøren: Webshell på Starwood Accolade gav adgang siden 2014

Da Marriotts cybersikkerhedsteam modtog alarmen den 8. september 2018, pegede de digitale spor mod Starwoods gæstereservationssystem. Denne ældre teknologiplatform kørte ironisk nok stadig separat, to år efter Marriott Internationals overtagelse af Starwood Hotels. Marriotts digitale efterforskere begyndte at grave, og afsløringen var chokerende: Ukendte gerningsmænd bag dette omfattende hacking havde haft uhindret adgang til databasen siden juli 2014. Angriberne havde, ved brug af avanceret malware og sofistikerede sociale ingeniørteknikker, installeret en "web shell" – en digital bagdør – på en server tilknyttet Starwoods Accolade-software. Denne bagdør gav dem frit spil til at stjæle følsomme data, herunder passwords, etablere vedvarende adgang og bevæge sig ubemærket rundt i Starwoods netværk. En anonym ekspert sammenlignede situationen med at opdage, at en tyv havde boet ubemærket i ens hus i fire år.

Fatal fejl: Starwoods gamle system, nøgler gemt usikkert

Dette omfattende databrud afslørede en fatal kombination af forældet teknologi og en kritisabel mangel på rettidig omhu i virksomhedskulturen. Starwoods gæstereservationssystem var kendt for sine sårbarheder længe før Marriott International overtog kæden. I stedet for at integrere det i Marriotts eget, mere sikre netværk, lod man det fortsætte driften som en isoleret og sårbar enhed. De cyberkriminelle udnyttede denne adskillelse til at stjæle enorme mængder data, herunder krypterede passportnumre, betalingskortoplysninger og data fra loyalitetsprogrammer. Mest alarmerende var opdagelsen af, at dekrypteringsnøglerne til de stjålne data lå på de samme servere som selve de krypterede data. En talsmand for FTC (Federal Trade Commission) i USA sammenlignede senere denne graverende sikkerhedsfejl med at gemme nøglen til et pengeskab under dørmåtten.

Katastrofen: 500 mio. ramte, bøder fra ICO og FTC følger

Den 30. november 2018 blev det fulde omfang af katastrofen offentliggjort: Oplysninger tilhørende op mod 500 millioner gæster var blevet kompromitteret i dette massive databrud. De stjålne data inkluderede alarmerende detaljer som 24 millioner ukrypterede passportnumre, 9,1 millioner betalingskortoplysninger og 383 millioner unikke gæsteprofiler. Myndighedernes reaktion kom prompte. I Storbritannien varslede ICO (Information Commissioner's Office) en bøde på næsten 100 millioner pund i henhold til GDPR. Efter anke og med hensyntagen til COVID-19-pandemien blev denne bøde dog reduceret til 18,4 millioner pund i november 2020. I USA indgik Marriott International i oktober 2024 et forlig med FTC og 50 delstater. Forliget omfattede en bøde på 52 millioner dollars og et krav om implementering af skærpede zero-trust sikkerhedsprotokoller. For de utallige berørte gæster, herunder rejsende fra Danmark, steg risikoen for identitetstyveri markant. Selvom Marriott tilbød kompensation, såsom dækning af udgifter til nye pas og kreditovervågning, kunne det for mange, ifølge en berørt dansk rejsende, ikke opveje følelsen af at have fået sin digitale identitet kompromitteret.

Jagten: Mistanke om kinesisk spionage bag Marriott-hack

Det store ubesvarede spørgsmål i denne hacking-sag er, hvem der stod bag. Selvom Marriott International officielt har åbnet for muligheden for almindelig cyberkriminalitet, peger stærke tekniske beviser og angribernes avancerede metoder i retning af statssponsoreret spionage. Sikkerhedseksperter har fremhævet ligheder med taktikker anvendt af kendte kinesiske hackinggrupper. Dette inkluderer brugen af sofistikeret, specialdesignet malware og den bemærkelsesværdige omstændighed, at de enorme mængder stjålne data aldrig er blevet udbudt til salg på det mørke web. Fraværet af de kompromitterede data på det såkaldte sorte marked (en del af det mørke web) bestyrker mange eksperters teori om, at motivet snarere var efterretningsindhentning end direkte økonomisk vinding gennem f.eks. afpresning eller salg.

Læren: Styrket M&A-due diligence og søgsmål efter Marriott

Marriott-skandalen er blevet et skelsættende eksempel for erhvervslivet, især i forbindelse med fusioner og opkøb (M&A). Sagen understregede brutalt nødvendigheden af, at due diligence-processer fremover skal omfatte dybdegående cybersikkerhedsaudits på lige fod med finansielle revisioner, som en dommer i sagen pointerede. Marriott International har siden implementeret AI-drevne trusselsdetektionssystemer og en obligatorisk zero-trust-arkitektur på tværs af alle sine brands i et forsøg på at genoprette den tabte tillid efter det omfattende databrud. Historien er dog ikke slut. En retsafgørelse fra november 2023 om recertificering af en klasseaction-sag betyder, at der fortsat er udsigt til nye domme og potentiel yderligere kompensation til millioner af berørte gæster. Som en advokat for ofrene for dette databrud bemærkede, er sagen mere end blot et databrud; den repræsenterer en systemisk nedbrydning af tilliden i den digitale tidsalder, hvor internet-baserede tjenester er allestedsnærværende.

Advarsel: Cybersikkerhed er en nødvendighed, ikke valg

I kølvandet på Marriott-skandalen ligger en alvorlig advarsel til alle globale virksomheder: I en verden, hvor data er det nye guld, er robust cybersikkerhed ikke en valgfri teknisk detalje, men en fundamental forretningsmæssig og eksistentiel nødvendighed for at undgå omfattende bedrageri og identitetstyveri. Dette databrud hos Marriott International understreger, hvor sårbare selv de største globale infrastrukturer er over for vedholdende og avancerede trusler. Det viser, hvordan manglende opmærksomhed på cybersikkerhed og digital skødesløshed kan føre til konsekvenser af enormt omfang, der påvirker millioner af mennesker verden over.

Kilder:

Følg KrimiNyt for flere dybdegående sager om cyberkriminalitet, spionage og de mørkeste sider af den digitale tidsalder.

S

Susanne Sperling

Admin

Redaktør

Share this post: