500 MILLIÓAN BAJBAN
A címben feltett kérdésre egyre inkább csak egyetlen válasz létezik: sehol. Egy mai városlakó átlagember havonta egy-két alkalommal újabb és újabb szolgáltatónak adja meg a személyes adatait. A leggyakrabban persze csak a nevét és e-mail címét, valamint sokszor a jelszavát is. Ráadásul a nagy többség jó esetben is csak néhány jelszót használ a legtöbb regisztrációhoz és belépéshez. Sőt a kutatások szerint jobbára 123456 típusú vagy a születési dátummal azonos jelszavak használatosak. Márpedig a Facebook korában azért a születési dátum nem egy elérhetetlen információ annak, aki célszoftverekkel keres ilyen párokat…
SOKKAL TÖBBET TUDNAK
De miért is került elő újra jelszavaink, személyes adataink és persze pénzünk biztonságának a kérdése? Azért, mert néhány napja ismét óriási adatlopási incidens történt: a Marriott-szállodalánctól nem kevesebb mint ötszázmillió ügyfél adatát lovasították meg. Ez a friss eset az utóbbi évek nagy botrányai közt is kiemelkedő jelentőségű. Ugyanakkor nemcsak a félmilliárdos szám miatt rémisztő az eset, hanem azért is, mert egy hotelnek jellemzően sokkal több információt kell megadni, mint mondjuk egy webáruháznak. Az utóbbi esetén elegendő lehet mindössze egy becenév és egy e-mail cím, az online fizetés is egy biztonságos, külsős pénzügyi-banki szolgáltatón keresztül megy általában. Tehát a webáruház többnyire nem látja, nem is láthatja például a hitelkártyaszámot vagy a plasztiklap hátoldalán lévő háromjegyű kis kódot. Ugyanakkor egy szállodalánc sok esetben a kártyaadatoknak is a birtokában van.
De nézzük, mi is történt pontosan.
NÉGY ÉVE LOPNAK
A hihetetlen számú felhasználó többféle, a szobafoglalással kapcsolatos adatához férhettek hozzá hackerek. A brit BBC által feldolgozott történet több szempontból is rémisztő. Egyfelől tény, hogy ez az óriási adatszivárgás számszerűleg a második a Yahoo! 2013-as esetéhez mérten, amikor egymilliárd felhasználó adatai kerültek ki. Súlyosabb viszont a friss történet abból a már említett szempontból, hogy itt bizony nem csak e-mail címek és becenevek tűnhettek el, pontosabban kerülhettek az internetes alvilág kezére.
Döbbenetes az is, hogy négy kerek esztendőn át úgy folyt az adatszivárgás, hogy erről a cég vagy nem tudott, vagy – ami talán még rosszabb – tudott róla, csak eltitkolta.
A MAGYAROK SZERENCSÉSEK
Érdekes szál, hogy a botrány elsősorban nem magát a „fő” Marriott-láncot érinti, így feltehetően a magyarországi szállodái nem vagy csak közvetve érintettek. Maga a szivárgás a hálózat Starwood-láncánál történt. Ez utóbbihoz számos márka tartozik, de ezek közül ma már egy sincs jelen hazánkban. A Starwood nálunk kevéssé ismert, de világszerte 1200 szállója és üdülője van, s 180 ezer főt foglalkoztat. A Marriott-lánc 2015 novemberében jelentette be, hogy 13,6 milliárd dollárért (mintegy 3900 milliárd forintért) felvásárolja a Starwood-hálózatot. (Érdemes megjegyezni, hogy az adatszivárgás kezdő időpontja egybeeshet a hatalmas ügylet vélhető kezdő tárgyalásaival, bár könnyen lehet, hogy csak véletlen egyezésről van szó.)
MÉG TART A KÁRFELMÉRÉS
Mi is történt? A hotellánc regisztrációs rendszeréhez férhettek hozzá illetéktelenek, ráadásul a hatalmas, igen alapos átvilágításokkal járó egyesüléskor sem került elő ez az elképesztően nagy informatikai hiba. A Marriott saját bevallása alapján csupán ez év szeptemberében tűnt fel nekik az óriási léptékű információszivárgás. A hivatalos tájékoztatás szerint a mai napig folyik annak feltérképezése, hogy hány ügyfél van, akinek, valóban meg is lovasították az adatait.
Érdekesség és szerencse is az ügyben, hogy a Starwood önálló IT-rendszerben kezeli a foglalásokat, tehát a Marriott kliensei valamivel nagyobb biztonságban lehetnek. Bár arról nem nyilatkozott a szállodavállalat, hogy az egyesülést követően mennyire voltak átjárhatók a rendszerek, a Starwood meghackelése esetleg milyen mértékben fertőzhette meg a Marriott szervereit, adatbázisait.
173 MILLIÓAN NAGY BAJBAN?
Ha ez nem lenne elég, a cégcsoport azt sem tagadta le: van reális esély arra, hogy a náluk is elvben titkosított módon eltárolt bankkártyaadatok szintén a hackerek karmai közé kerültek. A vizsgálat egyelőre tart, de aki kellően óvatos, az nem árt, ha lecseréli az olyan kártyáit, amelyekkel az elmúlt egy-két évben a táblázatunkban felsorolt szállók valamelyikében online módon fizetett. A Marriottnál bevallották: eddig 327 millió ügyfélről tudják egészen biztosan, hogy egy vagy több foglalásnál megadott adatukat ellophatták. De ők még viszonylag jól jártak, mert a fennmaradó nem kevesebb mint 173 millió szállóvendég hotelekben, foglalásnál felhasznált bankkártyájának a kódja és a lejárati dátuma is kiszivároghatott!
A Marriottnál szeptember 10-e után tömték csak be a biztonsági rést, azaz a korábbi fizetések kapcsán szinte mindenki „veszélyben van”. Jelenleg az amerikai fogyasztóvédelmi hatóság vizsgálódik, de várható a nemzetközi nyomozó szervek bekapcsolódása is, és persze perek ezrei indulhatnak a vendégek részéről, akár csoportos formában. Állítólag az első ilyen csoportos kártérítésiper-beadvány már meg is született.
A cég Nagy-Britanniában ingyenes tájékoztató vonalat indított, melynek segítségével az érintettek a most szükséges tennivalókról tájékozódhatnak. Mi több, egy ugyanilyen célú netes oldalt is elindítottak.
A BOTRÁNYBAN ELSŐDLEGESEN ÉRINTETT STARWOOD-LÁNC MÁRKANEVEI
Aloft Hotels
Design Hotels
Element
Four Points by Sheraton
Le Méridien
Sheraton
St. Regis Hotels & Resorts
The Luxury Collection
Tribute Portfolio
W Hotels
Westin Hotels
Forrás: Figyelő-gyűjtés
