Marriott - Der Starwood-Hack und die rapide Erholung

 

 

Ende letzten Jahres hatte es ein Leck von unvorstellbarer Größe gegeben. Es wurde von einem Datenleck gesprochen, bei der sensible Daten von bis zu einer halben Million Personen gestohlen wurden. Wie konnte es dazu kommen und wie geht Marriott damit um? Wir klären auf.

 

Letzte Woche hatte der CEO Arne Sorensen eine Erklärung abgegeben und neue Details zu dem Leck bei Marriott geschildert: Am 30. November 2018 hatten Ermittler herausgefunden, dass 383 Millionen Kundendaten, 18,5 Millionen Passwörter, 5,25 Millionen Reisepassnummern, 9,1 Millionen verschlüsselte Kreditkartennummern und 385.000 valide Kreditkartennummern gestohlen wurden. Der Schaden, welcher hierdurch entstanden sein muss, mag gigantisch sein und es werden einige Opfer darunter bleiben, die nicht entschädigt werden können. Im darauf folgenden Monat der Bekanntgabe hat der MAR-Aktienkurs mehr als 12% an Wert (gesunken auf 100,99$) verloren.

 

Mittlerweile geht es bergauf, der Kurs hat sich auf aktuell 124,96$ (Stand 18.03.2019) erholt und heute wurde bekannt, dass bis 2021 1.700 neue Hotels aufgemacht werden sollen.

 

Das ist für Marriott sicherlich eine glückliche Entwicklung, jedoch bleibt die Frage, worauf sich der Schaden in Zahlen verläuft und ob sich der Umgang mit dem Thema Sicherheit in Zukunft weiter verschärft oder ob diese rasche Erholung zu einer dämpfenden Stimmung anregt.

 

 

Der Hergang:

 

Am 08.09.2018 hatte Accenture, die die Starwood Datenbank leitet, in der die Daten für Reservierungen gepflegt werden, verkündet, dass das Monitoring-System IBM Guardium Anomalien in dieser Datenbank am Tag zuvor erkannt hatte. Seit zwei Jahren wurde eine Migration aktiv durchgeführt, bei der die Kundendaten aus der Datenbank von Starwood auf jene der Marriott-Kette zu migrieren. Zu dieser Zeit jedoch war das Starwood-System noch von dem der Marriott-Kette getrennt.

 

Am Tag zuvor, dem 07.09.2018, kam von einem internen Starwood-Benutzer eines administrativen Kontos eine Anfrage auf eine Datenbank, die Anzahl der Reihen einer Tabelle dieser Datenbank zurückzugeben. Solche Anfragen werden von der Überwachungssoftware angezeigt, da sie als gefährlich eingestuft werden, weil die Datenbank für gewöhnlich solche Anfragen nicht ausführen muss. Aus diesem Grund hätte ein Mensch von Hand den Befehl eingeben müssen. Der Besitzer des Benutzerkontos hatte die Anfrage jedoch nicht ausgeführt, weshalb bekannt war, dass es sich um einen möglichen Angriff handelt.

 

Am 10.09.2018 wurden Forensiker zur Unterstützung eingebunden. Innerhalb einer Woche wurde Schadsoftware im Starwood-IT-System gefunden. Die Ermittler haben ein RAT (remote access trojan) gefunden. Eine solche Software ermöglicht den verdeckten Zugriff, Überwachung und Kontrolle über einen Computer.

 

Am Tag darauf hatte der CEO über diesen Zustand erfahren, der Vorstand am übernächsten Tag. Trotz der Schadsoftware auf den Starwood-Systemen gab es keine Beweise für unautorisierte Zugriffe auf Kundendaten.

 

Im Oktober 2018 wurde Mimikatz auf Geräten der Starwood-Systeme gefunden. Dies ist eine Anwendung, mit der Penetrationstests durchgeführt werden können. Es durchsucht den Speicher des infizierten Geräts nach Benutzernamen und Passwörtern und wurde wahrscheinlich dazu genutzt, um an weitere Daten von Nutzern der Starwood-Systeme zu kommen. Ermittler fanden jedoch noch immer keine Beweise gefunden für gestohlene Kundendaten.

 

Im November 2018 haben Ermittler entdeckt, dass die Angreifer schon seit Juli 2014 aktiv auf den Starwoods-IT-Systemen waren. Der Angriff lief also schon seit 4 Jahren.

 

Am 14. November 2018 wurde dann der Beweis für das Datenleck gefunden. Es wurden zwei komprimierte und verschlüsselte Dateien entdeckt, die, potentiell von einem internen Gerät entfernt worden sind. Diese Dateien wurden möglicherweise vom System entfernt, um Spuren zu verschleiern.

 

Am 19. November 2018 haben die Ermittler die Dateien entschlüsselt: Eine dieser Dateien enthielt einen Export aus der Starwood-Datenbank für Reservierungen inklusive Kundendaten. Die andere Datei enthielt Reisepassdaten.

 

An diesem Tag wurde das Leck von der Hotelkette veröffentlicht.

 

 

 

Weiterführende Literatur und Verweise:

 

https://www.wsj.com/articles/marriott-expects-to-open-1-700-hotels-11552905407 (18.03.2019)

https://www.grc.com/securitynow.htm, Episode #705 (18.03.2019)

https://news.marriott.com/2018/11/marriott-announces-starwood-guest-reservation-database-security-incident/ (18.03.2019)