Data breach per Marriott, rubati dati su 500 milioni di clienti Starwood

Marriott Hotel (foto: José Carlos Cortizo Pérez)

La nota multinazionale alberghiera Marriott International, che nel 2016 ha rilevato la catena Starwood Hotels and Resorts Worldwide, ha annunciato oggi di aver scoperto un enorme data breach che coinvolge il database contenente le prenotazioni Starwood.

L’accesso non autorizzato è iniziato nel 2014 ma i tecnici dell’azienda se ne sono accorti solo nel settembre di quest’anno. Il 10 settembre la violazione è stata finalmente chiusa, ma secondo le stime dell’azienda gli hacker hanno ottenuto informazioni su circa 500 milioni di clienti che nel corso degli anni hanno fatto una prenotazione presso una delle strutture Starwood.

Per 327 milioni di loro le informazioni rubate includono una combinazione di dati fra cui nome, indirizzo postale, numero di telefono, indirizzo e-mail, numero di passaporto, numero del conto SPG (Starwood Preferred Guest), data di nascita, sesso, informazioni sull’arrivo e sulla partenza, date della prenotazione e modalità di comunicazione preferita.

Per alcuni di questi, ma il numero esatto non è stato comunicato, il furto interessa anche i numeri di carta di credito crittografati con la cifratura AES-128. Marriott tuttavia non esclude che siano state rubate le chiavi per decifrare questi dati.

Al momento l’unico network oggetto del data breach risulta essere quello di Starwood, mentre la rete che gestisce le prenotazioni per gli hotel Marriott non sembra aver subito furti.

Ho iniziato a interessarmi di cybersecurity dal 1989, quando ho "trovato" il mio primo virus. Dal 1992 me ne occupo professionalmente: per oltre un decennio come collaboratore di testate specializzate (fra cui PC Professionale), poi come consulente del Ministro delle Comunicazioni su aspetti di sicurezza delle reti, quindi con collaborazioni sui medesimi temi con Telespazio (gruppo Finmeccanica). Oggi mi interesso di nuove tecnologie (AI) e cyber warfare. Sono socio fondatore del chapter italiano di Internet Society, membro dell'Associazione Italiana esperti in Infrastrutture Critiche (AIIC) e della Association for the Advancement of Artificial Intelligence (AAAI). Dal 2006 lavoro per ESET, dove ricopro il ruolo di Operations Manager. Il blog è personale.