De datadiefstal bij hotelketen Marriott waar aanvallers de gegevens van 383 miljoen mensen buitmaakten werd dankzij een verdachte query ontdekt. Dat heeft Marriott-ceo Arne Sorenson tegenover een commissie van de Amerikaanse senaat bekendgemaakt (pdf).

De commissie hield een hoorzitting over datalekken in de private sector waar Sorenson als getuige werd gehoord. Bij Marriott wisten aanvallers de reserveringsdatabase van hotelketen Starwood te stelen. Deze hotelketen werd in 2016 door Marriott overgenomen. De Starwoord-hotels zouden het eigen reserveringssysteem blijven gebruiken en op den duur op het systeem van Marriott overstappen.

Starwood maakte gebruik van een beveiligingssysteem voor databases. Dit systeem genereerde op 7 september 2018 een waarschuwing nadat een verdachte query was ontdekt. De query was afkomstig van het account van een systeembeheerder. Verder onderzoek wees uit dat de eigenaar van het account niet de query had uitgevoerd. Hierop werd een groter onderzoek ingesteld, wat op 17 september tot de ontdekking van een remote access trojan (RAT) leidde.

Op sommige systemen vonden onderzoekers sporen van malware, alsmede Mimikatz, een tool waarmee aanvallers inloggegevens stelen. Verder bleek dat de aanvallers twee versleutelde archiefbestanden hadden aangemaakt. Onderzoekers wisten de bestanden te ontsleutelen en zagen dat die een tabel met klantgegevens van de reserveringsdatabase bevatten.

Uiteindelijk bleek dat de gegevens van maximaal 383 miljoen unieke gasten waren buitgemaakt, waaronder 18,5 miljoen versleutelde paspoortnummers en 5,25 miljoen onversleutelde paspoortnummers en duizenden onversleutelde creditcardnummers. Hoe de aanvallers toegang tot de systemen wisten te krijgen lheeft Sorenson niet laten weten.

Image