Viešbučių valdymo platforma „Otelier“ patyrė duomenų pažeidimą po to, kai grėsmės veikėjai pažeidė jos „Amazon S3“ debesies saugyklą, kad pavogtų milijonus svečių asmeninės informacijos ir užsakymų gerai žinomiems viešbučių prekių ženklams, tokiems kaip „Marriott“, „Hilton“ ir „Hyatt“.
Teigiama, kad pažeidimas pirmą kartą įvyko 2024 m. liepos mėn., prieiga buvo tęsiama iki spalio mėn., kai grėsmės veikėjai teigė pavogę beveik aštuonis terabaitus duomenų iš „Otelier“ „Amazon AWS S3“ kibirų.
Pareiškime „BleepingComputer“ „Otelier“ patvirtino kompromisą ir teigė, kad bendrauja su paveiktais klientais.
„Mūsų svarbiausias prioritetas yra apsaugoti savo klientus, kartu didinant mūsų sistemų saugumą, kad būtų išvengta problemų ateityje“, – „BleepingComputer“ sakė Otelier.
„Otelier palaikė ryšius su savo klientais, kurių informacija galėjo būti susijusi. Reaguodami į šį incidentą pasamdėme pirmaujančių kibernetinio saugumo ekspertų komandą, kuri atliktų išsamią teismo ekspertizę ir patvirtintų mūsų sistemas.
„Tyrimas nustatė, kad neteisėta prieiga buvo nutraukta. Siekdama padėti išvengti panašaus incidento ateityje, „Otelier“ išjungė susijusias paskyras ir toliau tobulina savo kibernetinio saugumo protokolus.
„Otelier“, anksčiau žinomas kaip „MyDigitalOffice“, yra debesies pagrindu sukurtas viešbučių valdymo sprendimas, naudojamas daugiau nei 10 000 viešbučių visame pasaulyje, skirtas tvarkyti rezervacijas, operacijas, naktines ataskaitas ir sąskaitų faktūrų išrašymą.
Įmone naudojasi arba naudojo daugelis žinomų viešbučių prekių ženklų, įskaitant „Marriott“, „Hilton“ ir „Hyatt“, kurių duomenys yra pavogtoje informacijoje.
Pažeistas per pavogtus įgaliojimus
„Otelier“ pažeidimo grėsmės veikėjai „BleepingComputer“ sakė, kad iš pradžių jie įsilaužė į bendrovės „Atlassian“ serverį naudodami darbuotojo prisijungimą. Šie kredencialai buvo pavogti naudojant informaciją vagiančią kenkėjišką programą, kuri per pastaruosius kelerius metus tapo įmonių tinklų bėda.
Kai „BleepingComputer“ paprašė „Otelier“ patvirtinti šią informaciją, bendrovės atstovas pasakė, kad negali pasidalyti daugiau komentarų apie incidentą. Tačiau „BleepingComputer“ „Flare“ grėsmės žvalgybos platformoje „Otelier“ rado darbuotojų informaciją, kurią pavogė „Infostealer“ kenkėjiška programa.
Grėsmės veikėjai teigia, kad naudojo šiuos kredencialus bilietams ir kitiems duomenims, kuriuose buvo daugiau įmonės S3 kibirų kredencialų, iškrapštyti.
Naudodamiesi šia prieiga, įsilaužėliai teigė, kad atsisiuntė 7,8 TB duomenų iš bendrovės „Amazon“ debesies saugyklos, įskaitant milijonus „Marriott“ priklausančių dokumentų, kurie buvo „Otelier“ valdomuose S3 kibiruose. Šie dokumentai apima naktines viešbučių ataskaitas, pamainų auditą ir apskaitos duomenis.
„Marriott“ patvirtino „BleepingComputer“, kad „Otelier“ kibernetinė ataka paveikė juos ir sustabdė automatines paslaugas, kol „Otelier“ baigs tyrimą. Bendrovė pabrėžia, kad per šią ataką nebuvo pažeista nė viena jos sistema.
„Kai buvome informuoti apie šį incidentą, susijusį su „Otelier“, nedelsdami susisiekėme su pardavėju, kuris bendradarbiauja su daugybe viešbučių įmonių, ir patvirtinome, kad jie bendradarbiauja su kibernetinio saugumo ekspertais, kad ištirtų saugumo incidentą, kuris paveikė jų sistemas“, – sakė „Marriott“ atstovas. „BleepingComputer“.
„Marriott taip pat ėmėsi atitinkamų atsargumo priemonių, įskaitant sustabdė „Otelier“ teikiamas automatizuotas paslaugas, kol bus baigtas jų tyrimas, ir šios paslaugos lieka sustabdytos.
Grėsmių aktorius teigia, kad jie bandė išvilioti „Marriott“, manydami, kad S3 kibirai priklauso jiems, ir paliko išpirkos raštelius, prašydami sumokėti kriptovaliuta, kad duomenys nenutekėtų. Tačiau nebuvo susisiekta ir jie teigė praradę prieigą rugsėjį, kai buvo pakeitę kredencialus.
Nors „Marriott“ sakė „BleepingComputer“, kad nėra požymių, kad pažeidimo metu buvo pavogta neskelbtina informacija, pavogtų duomenų pavyzdžiuose, bendrintuose su „BleepingComputer“ ir „Have I Been Pwned's Troy Hunt“, yra asmeninė viešbučio svečių informacija.
„BleepingComputer“ matomi nedideli pavyzdžiai apima daugybę duomenų, įskaitant viešbučių svečių rezervacijas, operacijas, darbuotojų el. laiškus ir kitus vidinius duomenis.
Kai kuri atskleista asmeninė informacija yra viešbučio svečių vardai, adresai, telefonų numeriai ir el. pašto adresai.
Į pavogtus duomenis taip pat įtraukta informacija ir el. pašto adresai, susiję su „Hyatt“, „Hilton“ ir „Wyndham“. „BleepingComputer“ susisiekė su „Hyatt“ ir „Hilton“ dėl pažeidimo, bet negavo atsakymo.
Troy Huntas „BleepingComputer“ sakė, kad gavo platų duomenų rinkinį: rezervacijų lentelėje yra 39 milijonai eilučių, o vartotojų lentelėje – 212 milijonų.
Huntas sako, kad nepaisant didelio rinkinio, jis rado 1,3 milijono unikalių el. pašto adresų, nes daugelis kartojasi.
Atskleidžiama asmeninė informacija pridedama prie Have I Been Pwned, todėl kiekvienas gali patikrinti, ar jų el. pašto adresas yra atskleistuose duomenyse.
Geros naujienos yra tai, kad neatrodo, kad slaptažodžiai ir atsiskaitymo informacija buvo pavogti per ataką, tačiau grėsmės veikėjai vis tiek gali naudoti šią informaciją tikslinėse sukčiavimo atakose.
Todėl turėtumėte ieškoti įtartinų el. laiškų, apsimetinėjančiais viešbučių prekių ženklais, kuriuos paveikė šis pažeidimas.