CEO da Marriott compartilha post-mortem do ataque hacker sofrido o ano passado.

Os investigadores do Marriott encontraram o Mimikatz e um trojan de acesso remoto (RAT) no sistema de TI

O CEO da Marriott International, Arne Sorenson, prestou depoimento em frente a um subcomitê do Senado dos EUA na terça-feira, revelando novos detalhes sobre uma quebra de segurança que a cadeia de hotéis divulgou no ano passado.

Falando em frente ao Subcomitê Permanente de Investigações do Comitê de Segurança Interna e Assuntos Governamentais do Senado, Sorenson pediu desculpas aos clientes da empresa, mas também derrubou os rumores de que a China estava por trás do hack.

De acordo com uma declaração preparada para seu depoimento, Sorenson disse que a primeira vez em que a Marriott descobriu que algo poderia estar errado foi em 8 de setembro do ano passado, quando foram contatados pela Accenture, empresa de TI que administrava o banco de dados de reservas de hóspedes da Starwood.

A Marriott havia adquirido anteriormente a cadeia de hotéis Starwood em setembro de 2016 e estava trabalhando em um plano para migrar seus clientes para o seu próprio sistema de reservas de hóspedes, mas, naquela época, o sistema Starwood ainda estava separado do resto da rede Marriott.

Mas em 8 de setembro, a Accenture disse à equipe de TI da Marriott que um de seus produtos de segurança, um sistema de monitoramento de banco de dados chamado IBM Guardium , havia detectado uma anomalia no banco de dados de reservas Starwood no dia 7 de setembro.

“O alerta do Guardium foi acionado por uma consulta da conta de um administrador para retornar a contagem de linhas de uma tabela no banco de dados”, disse Sorenson.

Essas consultas são consideradas perigosas porque o software que é executado sobre um banco de dados geralmente não precisa fazê-las. Isso significava que um operador humano estava fazendo esse tipo de consulta muito específica manualmente.

“Como parte de nossa investigação sobre o alerta, descobrimos que o indivíduo cujas credenciais foram usadas não fez a consulta”, disse Sorenson.

Naquele momento, a equipe do Marriott percebeu que estava lidando com uma possível violação, embora não soubesse se era algo grande ou apenas o começo de um hack que poderia ser facilmente contido antes que os invasores acessassem qualquer dado do usuário.

A empresa informou que contratou investigadores forenses terceirizados em 10 de setembro para ajudar sua equipe de TI a investigar uma possível violação. A empresa forense estava vasculhando malwares nos sistemas de TI da Starwood menos de uma semana depois.

“Os investigadores descobriram um Cavalo de Tróia de Acesso Remoto (RAT), uma forma de malware que permite que um atacante acesse secretamente, vigie e até ganhe controle sobre um computador. Fui notificado da investigação em andamento naquele dia, e nossa Diretoria foi notificado no dia seguinte “, disse o CEO.

Descobrir todo o escopo do ataque exigiu trabalho forense significativo, disse o CEO. No entanto, apesar da presença da RAT no sistema de TI da Starwood, não havia evidências de que partes não autorizadas tivessem acessado os dados dos clientes localizados no banco de dados de reservas de hóspedes da Starwood.

Mas a investigação não parou. No mês seguinte, em outubro, a firma forense também encontrou o Mimikatz, uma ferramenta de testes de penetração usada tanto por pesquisadores de segurança quanto por hackers que pesquisam na memória de um dispositivo por nomes de usuário e senhas. A ferramenta provavelmente foi usada para ajudar hackers a adquirir senhas para outros sistemas Starwood e ajudá-los a migrar para outras partes da rede de TI.

Mais uma vez, os investigadores não encontraram evidências de que hackers tivessem acessado os dados dos clientes.

A invasão passou de “provavelmente ruim” para “ruim” no mês seguinte, em novembro, quando os investigadores descobriram que os hackers estavam ativos na rede de TI da Starwood desde julho de 2014, muito antes da aquisição da Marriott.

Isso significava que os hackers haviam operado mais de dois anos sem serem detectados e tornavam toda a investigação mais difícil, já que a empresa forense precisava escavar anos de toras.

Mais uma vez, ainda não havia evidências de hackers acessando dados de clientes.

Mas o inevitável acabou acontecendo, e aconteceu em meados de novembro. O trecho da declaração preparada de Sorenson sobre como e quando eles perceberam que os hackers tinham roubado os dados dos clientes da Starwood está abaixo:

“Em 13 de novembro, nossos pesquisadores descobriram evidências de que dois arquivos compactados e criptografados haviam sido excluídos de um dispositivo que eles estavam examinando. Os arquivos foram criptografados e o conteúdo real era desconhecido. Houve também evidências que sugerem que esses dois arquivos foram potencialmente removidos da rede Starwood. Seis dias depois, em 19 de novembro de 2018, os investigadores puderam descriptografar os arquivos e descobriram que um continha uma exportação de uma tabela do banco de dados de reservas do Starwood Guest contendo dados de convidados, enquanto o outro continha uma exportação de uma tabela contendo informações de passaporte. .”

Neste ponto, a escrita estava na parede e estava escrita em neon piscando luzes. Os hackers violaram a rede de TI da Starwood e roubaram os dados dos clientes do banco de dados de reservas de hóspedes.

O que se seguiu agora já está muito bem documentado. A cadeia de hotéis notificou as autoridades e divulgou a revelação de violação de dados em 30 de novembro, revelando uma violação que afetou cerca de 500 milhões de clientes , estatísticas de violação que a empresa posteriormente atualizou em janeiro de 2019 e novamente em março .

De acordo com a declaração preparada de Sorenson e uma atualização no site de notificação de violação da Starwood, estas são as estatísticas mais recentes sobre a violação do Marriott:

383 milhões de registros de convidados
18,5 milhões de números de passaporte criptografados
5,25 milhões de números de passaporte não criptografados (663.000 dos EUA)
9,1 milhões de números de cartões de pagamento criptografados
385.000 números de cartões que ainda eram válidos no momento da violação

O CEO da Marriott disse novamente que os esforços investigativos ainda não revelaram evidências para sugerir que hackers tenham acesso à chave de criptografia usada para criptografar os números dos cartões de pagamento, o que significa que a maioria dos números de cartão de pagamento comprometidos ainda são inúteis para os invasores.

Além disso, o número total de 383 milhões de visitantes do hotel é provavelmente ainda menor.

“Em muitos casos, parece haver vários registros para o mesmo convidado, mas devido à natureza dos dados, a desduplicação adicional não pode ser facilmente executada”, disse Sorenson. “Não podemos determinar com segurança se os registros com nomes semelhantes, ou mesmo nomes idênticos com endereços diferentes, representam uma pessoa ou várias pessoas, mas concluímos com um grau razoável de certeza que as informações para menos de 383 milhões de visitantes únicos estavam envolvidas.”

Sorenson disse que divulgar a violação também foi um esforço maciço e envolveu notificar o FBI, todos os fiscais estaduais dos EUA, a FTC, a SEC, reguladores em 20 países diferentes, quatro grandes redes de cartões de pagamento e seus fornecedores de processamento de cartões de crédito e três EUA. agências de informação de crédito.

Uma equipe de investigação que trabalha em nome de redes de cartões de pagamento ainda está investigando o hack, separadamente da equipe da Marriott e das autoridades dos EUA.

Respondendo a perguntas do subcomitê do Senado, Sorenson também abordou uma declaração feita pelo secretário de Estado dos EUA, Mike Pompeo, no ano passado, durante uma entrevista à Fox & Friends, onde o funcionário da Casa Branca culpou os hackers chineses.

“A resposta curta é que não sabemos”, disse Sorenson quando perguntado sobre os comentários de Pompeo. “Sinto-me bastante inadequado até mesmo em inferir as informações que obtivemos.”

Uma gravação do testemunho de Sorenson está disponível aqui.

Fonte: Zdnet