Marriott – El hackeo de Starwood y la rápida recuperación

La semana pasada, el director general Arne Sorensen emitió un comunicado y describió nuevos detalles sobre la filtración en Marriott: El 30 de noviembre de 2018, los investigadores habían descubierto que se habían robado 383 millones de registros de clientes, 18,5 millones de contraseñas, 5,25 millones de números de pasaporte, 9,1 millones de números de tarjetas de crédito encriptadas y 385.000 números de tarjetas de crédito válidas. El daño que debe haber causado puede ser gigantesco y habrá algunas víctimas entre ellas que no podrán ser indemnizadas. En el mes que siguió al anuncio, la cotización de MAR perdió más de un 12% de su valor (hasta 100,99 dólares).

Mientras tanto, las cosas mejoran, el precio de la acción se ha recuperado hasta alcanzar actualmente los 124,96 dólares (a fecha de 18.03.2019) y hoy se ha anunciado la apertura de 1700 nuevos hoteles hasta 2021.

Sin duda, se trata de un acontecimiento feliz para Marriott, pero queda la duda de a cuánto ascenderán los daños en cifras y si el manejo del tema de la seguridad seguirá siendo más estricto en el futuro o si esta rápida recuperación fomentará un ambiente de amortiguación.

La historia:

El 08.09.2018, Accenture, que gestiona la base de datos de Starwood que mantiene los datos para las reservas, había anunciado que su sistema de monitorización IBM Guardium había detectado anomalías en esa base de datos el día anterior. Desde hace dos años, se está llevando a cabo una migración activa para trasladar los datos de los clientes de la base de datos de Starwood a la de la cadena Marriott. Sin embargo, en ese momento el sistema de Starwood todavía estaba separado del de la cadena Marriott.

El día anterior, 09/07/2018, llegó una petición de un usuario interno de Starwood de una cuenta administrativa en una base de datos para que devolviera el número de filas de una tabla de dicha base de datos. Estas peticiones son mostradas por el software de monitorización porque se clasifican como peligrosas ya que la base de datos no suele necesitar ejecutar dichas peticiones. Por esta razón, un humano habría tenido que introducir el comando a mano. Sin embargo, el propietario de la cuenta de usuario no había realizado la petición, por lo que se sabía que era un posible ataque.

El 10 de septiembre de 2018 se incorporaron expertos forenses para ayudar. En el plazo de una semana, se encontró un malware en el sistema informático de Starwood. Los investigadores han encontrado un RAT (troyano de acceso remoto). Este software permite el acceso encubierto, la vigilancia y el control de un ordenador.

El director general se enteró de esta condición al día siguiente, y la junta directiva al día siguiente. A pesar del malware en los sistemas de Starwood, no hubo pruebas de acceso no autorizado a los datos de los clientes.

En octubre de 2018, se encontró Mimikatz en dispositivos de los sistemas de Starwood. Se trata de una aplicación que puede utilizarse para realizar pruebas de penetración. Busca en la memoria del dispositivo infectado los nombres de usuario y las contraseñas y probablemente se utilizó para obtener más datos de los usuarios de los sistemas de Starwood. Sin embargo, los investigadores no encontraron pruebas de que los datos de los clientes hubieran sido robados.

En noviembre de 2018, los investigadores descubrieron que los atacantes habían estado activos en los sistemas informáticos de Starwoods desde julio de 2014. Así que el ataque se había producido durante 4 años.

Luego, el 14 de noviembre de 2018, se encontraron pruebas de la filtración de datos. Se detectaron dos archivos comprimidos y encriptados potencialmente eliminados de un dispositivo interno. Estos archivos pueden haber sido eliminados del sistema para ocultar los rastros.

El 19 de noviembre de 2018, los investigadores descifraron los archivos: uno de ellos contenía una exportación de la base de datos de reservas de Starwood, que incluía datos de clientes. El otro archivo contenía los datos del pasaporte.

Ese día, la cadena hotelera hizo pública la filtración.

Bibliografía y referencias adicionales:
https://www.wsj.com/articles/marriott-expects-to-open-1-700-hotels-11552905407 (18.03.2019)
https://www.grc.com/securitynow.htm Episodio #705 (18.03.2019)
https://news.marriott.com/2018/11/marriott-announces-starwood-guest-reservation-database-security-incident/ (18.03.2019)