El gigante hotelero y hotelero Marriott International nuevamente se enfrenta a preguntas sobre sus prácticas y políticas de seguridad cibernética después de que salió a la luz otra filtración de datos, afortunadamente limitada a una sola propiedad en los EE. UU.
Revelado por primera vez el 5 de julio por DataBreaches, la violación vio un servidor en el BWI Airport Marriott, cerca de Baltimore, Maryland, comprometido y 20 GB de datos extraídos, que supuestamente incluyen detalles de tarjetas de crédito y otras formas de información patentada e información de identificación personal (PII) en las tripulaciones de vuelo reservadas para permanecer en la propiedad.
El actor de amenazas responsable, conocido como The Group With No Name, se puso en contacto con DataBreaches por su propia voluntad y afirmó ser un grupo establecido desde hace mucho tiempo que hasta ahora ha evitado mucha cobertura de los medios.
El grupo le dijo a DataBreaches que Marriott tenía una seguridad “muy mala” y que no había tenido problemas para extraer los datos. También dijo que no era una pandilla de ransomware y que no encriptaba ningún dato, prefiriendo pasar directamente a la extorsión. También dijo que no ataca la infraestructura nacional crítica (CNI) ni los organismos gubernamentales, aunque estas afirmaciones no se verifican ni deben tomarse como verdad.
Un portavoz de Marriott le dijo a Computer Weekly: “Marriott International está al tanto de un actor de amenazas que usó ingeniería social para engañar a un asociado en un solo hotel Marriott para que proporcione acceso a la computadora del asociado. El actor de amenazas no obtuvo acceso a la red central de Marriott.
“Nuestra investigación determinó que la información a la que se accedió contenía principalmente archivos comerciales internos no confidenciales con respecto a la operación de la propiedad. El incidente fue contenido a un corto período de tiempo.
“Marriott identificó y estaba investigando el incidente antes de que el actor de amenazas contactara a la compañía en un intento de extorsión, que Marriott no pagó.
“La compañía se está preparando para notificar a 300-400 personas sobre el incidente. Marriott también ha notificado a la policía y está apoyando su investigación”.
Aunque evidentemente no es tan grave como la violación de 2020 que vio comprometidos los datos de 5,2 millones de huéspedes de Marriott, o la violación de 2014 de su marca Starwood, revelada en 2018, que puede haber expuesto más de 300 millones de registros y resultó en una multa regulatoria en Reino Unido, el equipo de seguridad cibernética de Marriott se enfrentará una vez más a preguntas difíciles.
Dominic Trott, quien dirige la estrategia del Reino Unido para Orange Cyberdefense, dijo que el incidente destacó la necesidad de protegerse contra errores humanos involuntarios, que parece haber sido el único punto de falla en este caso.
“Enseñar a los empleados cómo reconocer los intentos de phishing y detectar actividades maliciosas les permitirá, en última instancia, acceder a los recursos de seguridad necesarios para detener a los ciberdelincuentes y realizar su propio trabajo de manera segura y eficaz”, dijo.
“La necesidad de estrategias de defensa en profundidad que funcionen para mitigar el error humano nunca ha sido tan vital para las empresas de todos los sectores, ya que el auge del trabajo flexible ha dado como resultado que el trabajo sea algo que la gente hace, en lugar de un lugar al que van. . Trabajar en sus propios hogares y otros entornos en los que se sienten cómodos puede hacer que el personal baje sus defensas y se vuelva más susceptible a los ataques de ingeniería social, como los que sufrió Marriott”.
Mehmet Surmeli, consultor principal de respuesta a incidentes en WithSecure (anteriormente F-Secure), dijo que, sin embargo, había señales alentadoras en la respuesta de Marriott de que estaba haciendo lo correcto.
“Independientemente de las implicaciones para su negocio y el contexto de por qué ocurrió este incidente, me complace ver que Marriott no ha pagado la demanda de rescate, y debemos elogiar a la compañía por no financiar a los actores de amenazas y patrocinar más ataques. ”, dijo Surmeli. “Espero que puedan aprovechar las valiosas lecciones aprendidas de este incidente y mejorar su seguridad y la de los demás al compartir este conocimiento.
“Gracias a la investigación realizada en la industria, sabemos que cada pago de rescate genera aproximadamente otras 100 campañas, en las que más y más organizaciones se ven afectadas y se roban los datos de las personas”.
