Weiteres Datenleck bei Hotelkette Marriott (Juli 2022)

Sicherheit (Pexels, allgemeine Nutzung)Die US-Hotelkette Marriott hat jetzt einen neuen Datenschutzvorfall in einem US-Hotel eingestanden, bei denen auch persönliche Informationen durch einen Cyberangriff abgeflossen sind. Einem Versuch, Lösegeld zu erpressen, ist das Unternehmen, laut eigenen Angaben, aber nicht nachgekommen. Das ist ein weiterer Fall seit 2018, bei dem persönliche Daten von Gästen bei einem Datenschutzvorfall nach einem Hack abgeflossen sind.


Anzeige

Es war eine Meldung eines anonymen Benutzers an das Portal databreaches.net, die den Sachverhalt wohl ans Licht brachte. Das Portal bekam am 28. Juni 2022 den Hinweis auf einen Datenschutzvorfall bei der Hotelkette Marriott (Titel: "Breach of Marriott hotels! Very Important!"). Was die Redaktion für einen Scherz von Kids hielt, erwies sich aber als zutreffend, wenn auch der Umfang der entwendeten Daten begrenzt war.

Ungenannte Gruppe hackt

Laut databreaches.net ist es einer ungenannten Gruppe (als Group with No Name, GNN, bezeichnet) gelungen, vor etwa einem Monat (muss wohl Mai 2022 gewesen sein) in das Marriott-IT-System einzubrechen. Den Cyberangreifern gelang es, 20 GByte an Daten, einschließlich einiger Kreditkartendaten und vertraulicher Informationen, zu exfiltrieren. Das Portal databreaches.net konnte einige der von GNN bereitgestellte Dateien überprüfen. Die Sichtung ergab, dass die Dateien vom BWI Airport Marriott in Maryland (BWIA) stammen, was auf Nachfrage von den Angreifern bestätigt wurde.

Marriott per Mail informiert

Laut Mitgliedern von GNN seien zahlreiche Mitarbeiter von Marriott per E-Mail über den Einbruch in das IT-System informiert worden. Marriott habe ihnen zunächst geantwortet, dann aber die Kommunikation eingestellt, hieß es von der Gruppe. Der GNN-Sprecher teilte DataBreaches folgendes mit:

Wir sind diejenigen, die dieses Leck organisiert haben, und sie haben mit uns kommuniziert. Wir haben uns wie eine RedHat-Organisation verhalten und sie haben einfach aufgehört, mit uns zu kommunizieren.

Ziel der Gruppe war es wohl, eine bestimmte Geldsumme von der Hotelkette zu erpressen. Es wurde mit der Veröffentlichung der Daten gedroht. Die Hotelkette scheint dann an diesem Punkt jegliche Kommunikation mit der Gruppe eingestellt zu haben. Das war wohl der Zeitpunkt, zu dem die GNN auf das Portal databreaches.net zuging und diese über die erbeuteten Daten informierte.

Am 29. Juni 2022 setzte sich DataBreaches mit dem CISO von Marriott, Arno Van Der Walt, wegen des Hacks in Verbindung. Dieser fragte, ob das Portal bereit sei, mit seinen externen Rechtanwälten bei BakerHostetler zu sprechen. In diesem Gespräch wurde der Datenschutzvorfall vom Marriott-Rechtsberater bestätigt und es wurde auch zugegeben, dass Daten abgeflossen seien. Der Vorfall wurde von Marriott bzw. dessen Anwälten als weniger bedeutend beschrieben.

Zugang per Social Engineering?

Gegenüber dem Portal databreaches.net weigerte sich die unbekannt Gruppe, Details offen zu legen, wie man in das IT-System des Marriott-Hotels eindringen konnte. Marriott teilte dem Portal databreaches.net mit, dass der Vorfall darauf zurückzuführen sei, dass ein Mitarbeiter eines Marriott-Hotels durch Social Engineering erfolgreich dazu gebracht wurde, den Bedrohungsakteuren Zugang zum Computer dieses Mitarbeiters zu gewähren. Marriott fügte hinzu:

Wir haben keine Beweise dafür, dass der Bedrohungsakteur Zugang zu mehr als den Dateien hatte, die diesem einen Mitarbeiter zugänglich waren.

GNN bestätigte im Kontakt mit dem Portal databreaches.net im wesentlichen diese Darstellung. Sowohl Marriott als auch GNN bestätigten dem Portal, dass kein Lösegeld gezahlt wurde. Marriott gibt an, dass sie den Vorfall erkannt und untersucht haben, bevor sie von der unbekannten Gruppe kontaktiert wurde. Laut Marriott sei der Vorfall innerhalb von sechs Stunden unter Kontrolle gebracht worden.

Umfang wohl begrenzt

Marriott gab gegenüber dem dem Portal databreaches.net an, dass es sich bei den meisten der von GNN gestohlenen Daten um nicht sensible interne Geschäftsdateien handelte. Es würden jedoch etwa 300 bis 400 Personen und gegebenenfalls die Aufsichtsbehörden benachrichtigen. Marriott machte keine genauen Angaben dazu, um welche Art von persönlichen Daten es sich bei den zu benachrichtigenden Personen handelt. Zudem hat die Hotelkette die Strafverfolgungsbehörden benachrichtigt. Weitere Details lassen sich bei databreaches.net nachlesen.


Anzeige

Marriott war bereits 2018 Opfer einer Datenschutzverletzung – siehe nachfolgende Links. Auf den Webseiten der Hotelkette habe ich keine Hinweise auf diesen Fall gefunden. Dort gibt es nur Optionen, um sich als Gast zu registrieren und seine persönlichen Daten zu hinterlassen.

Ähnliche Artikel:
Datenleaks zum Wochenabschluss
Marriott bekommt 123 Millionen $ Strafe wegen DSGVO-Verstoß


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.