Berichten

Hebt u wel eens in een Westin hotel overnacht? Of in het Sheraton? In een Design hotel? Deze en nog meer ketens waren onderdeel van de Starwood hotelgroep, die in 2016 is opgekocht door de Marriott groep. En als u tussen 2014 en september 2018 in een van hun hotels heeft overnacht, dan kunt u er vanuit gaan dat uw gegevens in handen zijn van hackers.

 

Breach

Afgelopen week maakte Marriott bekend dat ze een breach gevonden hadden. Onbekenden waren actief op hun systeem. Dat ontdekten ze toen ze in september ongebruikelijke activiteit waarnamen. Ze hebben toen het systeem dichtgezet en een onderzoek gestart. Dat onderzoek is nog lang niet af, en we weten dan ook niet wat er allemaal gebeurd is. Een paar dingen weten we al wel.

 

2014

De voormalige Startwood-groep hotels houden hun hotelreservaties (nog steeds) bij in het Starwood Hotel Reservation System. En de hackers wisten al in 2014 in dat systeem binnen te dringen. Ze hebben dus vier jaar de tijd gehad om alle gegevens eruit te plukken. Over hoeveel en welke gegevens hebben we het dan?

 

In de aap gelogeerd

De Sheraton groep gaat er vanuit dat mogelijk alle gegevens gelekt zijn. En dat lijkt me voor zo’n langdurige breach wel waarschijnlijk. En alle gegevens, dat zijn de gegevens van een half miljard klanten. Ik weet niet of daar dubbelen bijzitten, want een half miljard is VEEL. De gegevens zijn verschillende combinaties van naam, adres, telefoonnummer, paspoortnummer, e-mailadres, geboortedatum, geslacht en meer. Als u erbij zit en ‘geluk’ heeft gehad is het alleen uw naam en adres, als u pech heeft is het alles.

 

Wachtwoorden

Als u lid bent van het loyalty-programma en een wachtwoord heeft opgegeven, dan is dat natuurlijk ook gestolen. De wachtwoorden zijn keurig versleuteld, maar dat betekent niet dat uw wachtwoord veilig is: ze hebben tot 4 jaar de tijd gehad om ‘m te raden. En aangezien de meeste wachtwoorden die we met zijn allen gebruiken makkelijk zijn vermoed ik dat de helft van die wachtwoorden in een uurtje achterhaald zijn.

 

Hoe en wat

We weten nog niet hoe de hack in zijn werk is gegaan, en al helemaal niet wie erachter zitten. Een zekere mate van professionaliteit moeten de hackers wel hebben om zo lang onder de radar te blijven. Al werd dat natuurlijk aanzienlijk makkelijker gemaakt door de merger in 2016 tussen Starwood en Marriott. In de aanloop naar en in de periode volgend op zo’n merger hebben bedrijven wel wat anders aan hun hoofd. En dat maakt ze extra gevoelig voor cybercrime.

 

Toch een pluim voor Marriott

Marriott heeft – zoals het er nu uitziet – volgens het boekje gehandeld en dat verdient een pluim.
Een half miljard klantgegevens op straat en dan toch een pluim? Dat zit zo:

Ik ga er vanuit dat de meeste, zo niet alle, bedrijven gehackt zijn. Geen enkele verdediging is bestand tegen een aanval met voldoende tijd, middelen en kennis. Het duurt vaak maanden voordat het bedrijf ontdekt dat er vreemden binnen zijn. En soms wordt het nooit ontdekt. Vier jaar is lang. Dit lek had natuurlijk veel eerder gevonden moeten zijn. Maar toen het dan eindelijk zover was is het onderzocht en gedeeld.

 

Wat moet u doen?

Starwood-klant geweest? Of Marriott klant? (Want ik moet nog zien of ze de Marriott helft van het reserveringssysteem niet ook binnengedrongen zijn). Dan kunnen er gegevens van u gestolen zijn. Als u deelneemt aan een loyalty-programma, dan even uw wachtwoord veranderen. Als u hetzelfde wachtwoord elders ook gebruikt, dan moet u die wachtwoorden ook aanpassen.

Verder is er niet zo heel veel wat u kunt doen. Opletten: uw e-mail adres kan in combinatie met de andere gegevens die ze van u hebben gebruikt worden om hele echte phising-mails te sturen.

Wat moet u in het vervolg doen?
Besef bij het invullen van dat formulier dat u niet alle velden hoeft in te vullen. Ik laat e-mail bijvoorbeeld altijd leeg. Scheelt ook weer spam. Hoe minder persoonlijke informatie u afgeeft, hoe minder er gestolen kan worden.

 

En nu?

De gestolen gegevens zijn voor zover bekend nog niet beschikbaar op de ondergrondse fora. En als je kijkt naar de tijd die de dieven ervoor genomen hebben dan verwacht ik ook niet dat ze die gegevens ineens massaal gaan verkopen. Zijn ze te professioneel voor. Kortom: ik verwacht niet dat er nu ineens meer aanvallen gaan plaatsvinden op Marriott klanten. Aan de andere kant: hun operatie is afgebroken en aan het licht gebracht, dus ook hun strategie zal veranderen. We gaan het zien. Of niet.