万豪集团CEO首谈黑客入侵,分享事后取证结论

万豪国际集团CEO Arne Sorenson日前在美国参议院小组委员会的听证会上作证,详尽披露了去年该连锁酒店遭到大规模安全入侵的最新细节。

至顶网安全频道 03月15日 编译:万豪国际集团CEO Arne Sorenson日前在美国参议院小组委员会的听证会上作证,详尽披露了去年该连锁酒店遭到大规模安全入侵的最新细节。

万豪集团CEO首谈黑客入侵,分享事后取证结论

在参议院国土安全委员会与政府事务常设调查小组委员会面前,Sorenson公开向万豪公司的客户们道歉,同时亦澄清了入侵黑客得到中国政府支持的谣言。

根据一份预先准备的证词陈述,Soreson表示万豪公司于去年9月8日第一次意识到可能出现了安全问题。当时,管理喜达屋客户预订数据库的IT厂商埃森哲主动与其进行了联系。

万豪集团此前于2016年9月收购了喜达屋连锁酒店,其后一直在制定将喜达屋客户迁移至自家住客预订系统的计划。但在安全事件发生之时,喜达屋系统与万豪本身的主体网络仍然没有合并。

但就在2018年的9月8日,埃森哲方面告知万豪的IT部门,他们的一款安全产品(名为IBM Guardium的数据库监控系统)在9月7日,也就是一天之前,发现了喜达屋客户预订数据库中存在异常情况。

Sorenson回忆称,“Guardium的警报是由管理员账户的异常查询所触发,当时某账户曾查询过数据库内表格的总行数。”

此类查询被普遍视为危险活动,因为在数据库之上运行的软件通常不需要进行此类查询。换言之,这意味着只有人类操作者才会手动进行这种非常具体的查询。

Sorenson表示,“作为安全调查工作的一部分,我们很快发现使用对应凭证的员工实际上并没有进行过这项查询操作。”

这个时候,万豪的工作人员开始意识到他们面对的可能是一起违规行为。但当时,他们还不清楚这到底是一起大事故,抑或仅仅是个能够轻松解决的恶作剧式入侵,毕竟他们还没有确定攻击者是否切实访问到任何用户数据。

万豪公司指出,其于9月10日引入了第三方取证调查员,负责帮助其IT人员调查可能存在的违规行为。这家取证公司在不到一周的时间里,就发现了喜达屋IT系统上存在恶意软件。

这位CEO作证称,“调查人员发现了一种远程访问木马(简称RAT),这是一类恶意软件,允许攻击者悄无声息地访问、监视甚至控制目标计算机。我在调查进行的当天就得到了通知,而第二天情况被通报给全体董事会。”

Sorenson继续补充称,揭露攻击行为的全貌显然需要进行大量取证工作。然而,尽管喜达屋IT系统上确实存在RAT,但当时并没有任何证据表明未授权攻击者访问到了喜达屋客户预订数据库中的实际数据。

但调查工作并没有停止。到去年10月,取证公司又发现了Mimikatz的身影,这是一种渗透测试工具,被安全研究人员以及黑客广泛用于搜索设备内存中的用户名与密码。该工具可能被用于帮助黑客获取其它喜达屋系统的密码,从而引导其进入到IT网络的其它部分。

然而,与之前一样,调查人员仍然没有发现黑客访问到客户数据的确切证据。

去年11月,调查人员发现自2014年7月以来,黑客就一直驻留在喜达屋的IT网络当中。这一时间点甚至远早于万豪的收购,因此黑客的意图就从“可能不良”变成了“必然不良”。

这意味着黑客已经潜伏了两年多却一直没有被发现,这就使得整个调查变得更加困难,因为现在取证公司需要面对多年以来存积的大量日志记录。

请原谅这里又说了一次——直到这时,也仍然没有任何证据表明黑客曾经访问到客户数据。

但坏消息最终还是来了,具体时间是在去年11月中旬。Sorenson在这份声明当中陈述了他们是如何以及何时意识到黑客确有窃取喜达屋客户数据行为的内容,我们将其摘录如下:

11月13日,我们的调查人员从他们正在检查的设备中发现有两个经过压缩的加密文件被删除。由于文件被加密,因此无法得知其确切内容。另有证据表明,这两个文件可能也已经被从喜达屋网络中删除。六天之后,即2018年11月19日,调查人员终于顺利解密了文件,并发现其中一个包含从喜达屋客户预订数据库中导出的访客数据表格,而另一个文件则包含导出的护照信息表格。

到了这个时候,宣判终于来临,而且情况绝对不容怀疑。黑管们已经成功入侵了喜达屋的IT网络,并从其客户预订数据库内窃取到了详尽的客户信息。

接下来的情况,各大媒体已经多次进行过报道。万豪方面及时向政府当局进行了通报,并于去年11月30日公开披露了此次数据泄露事件。经过此后分别于2019年1月与3月进行的两次统计更新,我们意识到这次安全事件共影响到近5亿客户。

根据Sorenson准备的声明以及喜达屋违规通知网站上的最新消息,我们整理出以下万豪违规事件中的最新统计结果:

  • 3.83亿条客户记录
  • 1850万条加密护照号码
  • 525万条未加密护照号码(其中66万3千条来自美国)
  • 910万条加密支付卡号码
  • 38万5千个支付卡号码在事件曝光时仍然有效

万豪集团CEO再次表示,此次调查并未发现有证据表明黑客取得了加密支付卡号码所使用的密钥,这意味着大多数流出的支付卡号码无法被其实际使用。

此外,受影响的酒店客户总数约为3.83亿,实际数字可能更低。

Sorenson指出,“在大多数情况下,同一客户似乎会留有多条记录,但由于数据本身的重要属性,我们不能轻易对其进行重复数据删除。我们无法确切地判断其中存在多少姓名相似,或者地址不同但姓名相同的记录,也无法断言其代表的是不是同一个人。但我们已经能够相当确定,其中涉及的信息一定少于3.83亿名不同客户。”

Sorenson表示,披露此项违规行为同样耗费了万豪集团不少精力,包括通知联邦调查局、美国各州检察长、美国联邦贸易委员会、美国证券交易委员会、20个来自不同国家的监管机构、四大主要支付卡网络与信用卡处理供应商,外加三家美国信用报告机构等等。

由支付卡网络派出的调查小组目前仍在继续探究黑客活动,且相关行动一直与万豪及美国政府当局的团队彼此独立。

在回答参议院小组委员会提出的问题时,Sorenson还谈到了美国国务卿Mike Pompeo在去年接受采访时所发表的声明,当时有白宫官员将此次事件归咎于中国黑客。

Sorenson在被问及Pompeo的论断时表示,“简单来讲,我们不知道是不是这样。但从我们已经获得的信息来推断,这样的结论没有足够的证据。”

在此次听证会上,Equifax公司新任CEO Mark Begor也接受了关于该公司2017年黑客入侵事件的询问。他并没有透露任何新的信息,因为Equifax官员们已经与参议院委员会保持了一年多的沟通,而且关于2017年的这次大规模信用数据外泄可以说是早已没有秘密可言。

来源:ZDNet

0赞

好文章,需要你的鼓励

2019

03/15

17:15

分享

点赞

邮件订阅