Die Hotelkette Marriott meldet einen weiteren Einbruch in seine Systeme, der offenbar auch zu einem Datenverlust geführt hat. Betroffen sind mehr als 5,2 Millionen Gäste, die die Bonus-App des Unternehmens genutzt haben.
Zugriff hatte er auf Name, Anschriften, E-Mail-Adressen und Telefonnummern. Auch Kontoinformationen wie Kontonummern und Anzahl von Bonuspunkten von Gästen fielen dem Cyberkriminellen in die Hände. Die App speicherte außerdem Angaben zu Arbeitgebern, Geschlecht, Geburtstag und Vielfliegerprogrammen.
Kennwörter wurden laut Marriott jedoch nicht kompromittiert. Das soll auch für Finanzdaten, Ausweisdaten und Führerscheinnummern gelten, mit denen sich Gäste gemäß der jeweiligen Meldebestimmungen bei einem Hotelaufenthalt ausweisen.
Gäste der Hotelkette beziehungsweise Nutzer des Bonusprogramms können sich nun über ein Internetportal informieren, ob und wenn ja welche Daten von Ihnen entwendet wurden. Zudem wurden alle möglichen Betroffenen gestern per E-Mail über den Vorfall informiert. Darüber hinaus können sich Gäste an eigens dafür eingerichtete Call-Center wenden. Die Telefonnummern, auch für deutschsprachige Kunden, hält das Unternehmen auf seiner Website bereit.
Es ist bereits der zweite erfolgreiche Hackerangriff auf Marriott innerhalb von weniger als zwei Jahren. Ende 2018 räumte das Unternehmen den Verlust von Daten von bis zu einer halben Milliarde Gästen ein. Später wurde dies Zahl auf weniger als 383 Millionen Betroffene korrigiert. Damals erbeuteten die Täter auch unverschlüsselte Personalausweisnummern.
Sam Curry, Chief Security Officer von Cybereason, weist darauf hin, dass Cyberkriminelle auch in Ausnahmezeiten wie der aktuellen COVID-19-Pandemie aktiv seien. Unternehmen müssten ihre Mitarbeiter vor allem im Umgang mit verdächtigen E-Mails schulen, um Infektionen mit Schadsoftware zu verhindern.
„In diesem Fall erfolgte der Angriff über kompromittierte Mitarbeiterkonten. Sie ermöglichten den Zugang zu den Gästeservices. Da die Mitarbeiter oft Zugang zu sensiblen Kundendaten haben, ist die Erstellung entsprechender Warnmeldungen zur Erkennung von Missbrauch besonders schwierig“, kommentierte Tim Mackey, Principal Security Analyst bei Synopsys. Missbrauch sei unter anderem an Verhaltensmustern zu erkennen wie Tageszeiten, zu denen sich Mitarbeiter anmelden, oder ein typisches Datenvolumen, das dabei erzeugt werde. „Bei der Implementierung solcher Kontrollen müssen Unternehmen nicht nur die Anwendungssicherheit und die Art und Weise ihrer Bereitstellung, sondern auch die beabsichtigten Nutzungsmuster unter Einbeziehung von Human-Factors-Daten betrachten.“
In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.
Sie decken die Identität des Kopfs der Gruppe auf. Britische Behörden fahnden mit einem Foto…
Er treibt das neue iPad Pro mit OLED-Display an. Apple verspricht eine deutliche Leistungssteigerung gegenüber…
Davon entfällt ein Viertel auf staatliche Einrichtungen und 12 Prozent auf Industrieunternehmen.
Forscher umgehen die Verschlüsselung und erhalten Zugriff auf VPN-Datenverkehr im Klartext. Für ihren Angriff benötigen…
Weitere 40 Prozent der Deutschen erledigen ihre Geldgeschäfte überwiegend online und gehen nur noch selten…
Zwei Schwachstellen in Chrome gehören nun der Vergangenheit an. Von ihnen geht ein hohes Risiko…