2014-2018 yılları arasında Marriott'tan çalınan 500 milyondan fazla müşterinin ödeme kartı verileri ve pasaport numaraları hiçbir şekilde şifrelenmedi. Otel zinciri bunu ABD'de açılan bir davada kabul etmek zorunda kaldı. Ancak Marriott kendi başarısızlıklarını halının altına süpürmeye çalışıyor.
Reklamcılık
Yıllardır Marriott, veri kayıtlarının AES-128 ile şifrelenmesinin o kadar iyi olduğunu, endişeye gerek olmadığını, aynı zamanda etkilenen müşterilerin tazminat davası açması için hiçbir yasal neden olmadığını iddia etti. Mahkemedeki altıncı yılına kadar şu itiraf geldi: Ne AES-128 ne de başka bir yöntemle şifreleme yoktu.
Aslında verilere SHA-1 ile hash uygulandı. Ancak bu karma yöntemi 2005 yılında kırıldı; Örneğin 2014 yılında Mozilla, tarayıcı sertifikaları için SHA-1'in kaldırıldığını duyurdu. 2018'de SHA-1 ile hash'ler zaten anlamsızdı. Özellikle kredi kartı ve pasaport numaraları gibi bilinen formattaki kısa veriler, standart ev donanımı kullanılarak hızlı bir şekilde yeniden hesaplanabilir.
Geç güncelleme
Ancak Marriott, etkilenen müşterileri asılsız iddia konusunda bilgilendirmenin çabaya değmeyeceğini düşünüyordu. Marriott, Kasım 2018'den itibaren bir web sitesinde bir güncellemeyi çevrimiçi olarak yayınlaması ancak hakimin emri üzerine gerçekleşti. Marriott da güncellemenin netliğine güvenmiyor: “Marriott artık ödeme kartı verilerinin ve bazı pasaport numaralarının güncellendiğini belirledi. .. Güvenli Hash Algoritması 1 (SHA-1) olarak bilinen farklı bir şifreleme yöntemiyle kullanıldı.
Bu, son iki kelime dışında teknik olarak doğrudur ancak birçok tüketicide yanlış izlenim bırakması muhtemeldir. Bir yandan, SHA-1, adının aksine “güvenli” olmaktan başka bir şey değildir ve ikinci olarak, hash'ler bir “kriptografik yöntem”dir ancak bir şifreleme yöntemi değildir. 2018'den önce bile “korunmuş” olmaktan söz edilemiyordu.
Uzun süreç
Müşteri gruplarından en az 59 dava çeşitli ABD mahkemelerinde açılmış ve Marriott'un talebi üzerine ABD Maryland Bölge Mahkemesinde birleştirilmiştir (Yanıt: Marriott International, Müşteri Veri Güvenliği İhlali Davası, Ref. 8:19-md-02879). Daha sonra Marriott, sadakat programında yalnızca New York'ta bireysel davalara izin veren bir maddeyi öne sürerek toplu dava sertifikasını engellemeye çalıştı. Ancak Marriott, Maryland'deki tüm davaların birleştirilmesi yönündeki kendi talebiyle bu hak talebinden vazgeçti çünkü böyle bir özet, bireysel davaların tam tersidir.
ABD'deki davaların sonu görünmüyor. Kanada'da Marriott bir toplu dava davasını başarıyla savundu; çünkü Kanada Temyiz Mahkemesi'nin 2022'de tespit ettiği gibi, zayıf güvenlik önlemleri izinsiz girişlere olanak tanıyor ancak zorla giriş değil.
Marriott'un ilk dahili alarmı 7 Eylül 2018'de meydana geldi. Üç gün sonra çalışanlar alarmın meşru olduğunu keşfetti. Bunu, saldırganların Temmuz 2014'te sisteme zaten yerleştiklerini ortaya çıkaran bir iç soruşturma izledi. 30 Kasım 2018'de Marriott, yetkililere ve kamuoyuna izinsiz giriş konusunda bilgi verdi. Otel grubu, ödeme kartı verilerinin ve pasaport numaralarının AES-128 ile şifrelenmediğini ancak yakın zamanda fark ettiğini iddia ediyor.
(ds)
Haberin Sonu
Reklamcılık
Yıllardır Marriott, veri kayıtlarının AES-128 ile şifrelenmesinin o kadar iyi olduğunu, endişeye gerek olmadığını, aynı zamanda etkilenen müşterilerin tazminat davası açması için hiçbir yasal neden olmadığını iddia etti. Mahkemedeki altıncı yılına kadar şu itiraf geldi: Ne AES-128 ne de başka bir yöntemle şifreleme yoktu.
Aslında verilere SHA-1 ile hash uygulandı. Ancak bu karma yöntemi 2005 yılında kırıldı; Örneğin 2014 yılında Mozilla, tarayıcı sertifikaları için SHA-1'in kaldırıldığını duyurdu. 2018'de SHA-1 ile hash'ler zaten anlamsızdı. Özellikle kredi kartı ve pasaport numaraları gibi bilinen formattaki kısa veriler, standart ev donanımı kullanılarak hızlı bir şekilde yeniden hesaplanabilir.
Geç güncelleme
Ancak Marriott, etkilenen müşterileri asılsız iddia konusunda bilgilendirmenin çabaya değmeyeceğini düşünüyordu. Marriott, Kasım 2018'den itibaren bir web sitesinde bir güncellemeyi çevrimiçi olarak yayınlaması ancak hakimin emri üzerine gerçekleşti. Marriott da güncellemenin netliğine güvenmiyor: “Marriott artık ödeme kartı verilerinin ve bazı pasaport numaralarının güncellendiğini belirledi. .. Güvenli Hash Algoritması 1 (SHA-1) olarak bilinen farklı bir şifreleme yöntemiyle kullanıldı.
Bu, son iki kelime dışında teknik olarak doğrudur ancak birçok tüketicide yanlış izlenim bırakması muhtemeldir. Bir yandan, SHA-1, adının aksine “güvenli” olmaktan başka bir şey değildir ve ikinci olarak, hash'ler bir “kriptografik yöntem”dir ancak bir şifreleme yöntemi değildir. 2018'den önce bile “korunmuş” olmaktan söz edilemiyordu.
Uzun süreç
Müşteri gruplarından en az 59 dava çeşitli ABD mahkemelerinde açılmış ve Marriott'un talebi üzerine ABD Maryland Bölge Mahkemesinde birleştirilmiştir (Yanıt: Marriott International, Müşteri Veri Güvenliği İhlali Davası, Ref. 8:19-md-02879). Daha sonra Marriott, sadakat programında yalnızca New York'ta bireysel davalara izin veren bir maddeyi öne sürerek toplu dava sertifikasını engellemeye çalıştı. Ancak Marriott, Maryland'deki tüm davaların birleştirilmesi yönündeki kendi talebiyle bu hak talebinden vazgeçti çünkü böyle bir özet, bireysel davaların tam tersidir.
ABD'deki davaların sonu görünmüyor. Kanada'da Marriott bir toplu dava davasını başarıyla savundu; çünkü Kanada Temyiz Mahkemesi'nin 2022'de tespit ettiği gibi, zayıf güvenlik önlemleri izinsiz girişlere olanak tanıyor ancak zorla giriş değil.
Marriott'un ilk dahili alarmı 7 Eylül 2018'de meydana geldi. Üç gün sonra çalışanlar alarmın meşru olduğunu keşfetti. Bunu, saldırganların Temmuz 2014'te sisteme zaten yerleştiklerini ortaya çıkaran bir iç soruşturma izledi. 30 Kasım 2018'de Marriott, yetkililere ve kamuoyuna izinsiz giriş konusunda bilgi verdi. Otel grubu, ödeme kartı verilerinin ve pasaport numaralarının AES-128 ile şifrelenmediğini ancak yakın zamanda fark ettiğini iddia ediyor.
(ds)
Haberin Sonu