Che un malware possa agire indisturbato all’interno di un network aziendale per oltre quattro anni la dice lunga sulla capacità di un gruppo internazionale in termini di incident prevention e incident detection. Purtroppo non si tratta di un caso isolato, come si è visto dall’analisi di ENISA, oggetto dell’Editoriale del 29 ottobre.

L’abilità di un’organizzazione di prevenire e individuare una violazione di dati personali rappresenta la migliore garanzia, di primo e di secondo livello, per rispondere responsabilmente (accountability) alla domanda di cybersicurezza.

L’ufficio del Commissario per le informazioni del Regno Unito (ICO) ha inflitto a Mariott Hotel International Inc una sanzione definitiva di 18,4 milioni di sterline (circa € 20,3 milioni) per non aver protetto i dati personali di milioni di clienti (art. 32 GDPR).

Si tratta della vicenda per data breach, parallela a quella di British Airways, per la quale l’ICO nel luglio 2019 aveva inviato alla catena alberghiera un avviso preliminare di sanzione per ben 99 milioni di sterline. Marriott ha negato la propria responsabilità per il data breach ma ha comunicato che non impugnerà la decisione dell’ICO.

Alcuni parallelismi col procedimento contro British Airways sono evidenti, in particolare nella determinazione della sanzione.

Fatti

L’Alert del luglio 2019 ha dato notizia dell’intenzione dell’ICO di sanzionare la catena Marriott per data breach. L’attacco informatico contro Starwood Hotels and Resorts Worldwide Inc., effettuato apparentemente nel 2014 da fonte sconosciuta, è rimasto ignoto fino a settembre 2018, sebbene nel 2016 la società fosse stata acquisita da Marriott. È stato solo quando l’aggressore ha attivato un avviso (alert) in relazione a una tabella contenente i dati dei titolari di carta di credito, che l’attacco è stato scoperto.

Venuta a conoscenza dell’incidente, Marriott ha notificato prontamente all’ICO che 339 milioni di record di ospiti in tutto il mondo (7 milioni in UK) erano stati compromessi a seguito dell’attacco.

 I fatti presentano molti punti in comune con la vicenda che ha riguardato British Airways.

Un utente malintenzionato, rimasto sconosciuto, aveva installato nel 2014 un pezzo di codice noto come “web shell” su un dispositivo nel sistema Starwood, dando la possibilità all’attaccante di accedere e modificare i contenuti di questo dispositivo da remoto. Successivamente è stato installato un malware, consentendo all’aggressore di avere accesso remoto al sistema come utente privilegiato con accesso illimitato al dispositivo in questione e ad altri dispositivi sulla rete a cui l’account compromesso avrebbe avuto accesso. Sfruttando le credenziali di altri utenti della rete aziendale, l’aggressore ha acceduto ed ha esfiltrato il database che memorizza i dati delle prenotazioni per i clienti Starwood. 

Dati coinvolti

I dati personali coinvolti includono nomi, indirizzi e-mail, numeri di telefono, numeri di passaporto non crittografati, informazioni su arrivi / partenze, stato VIP degli ospiti e numero di iscrizione al programma fedeltà. 

Addebiti

L’indagine dell’ICO ha rilevato che Marriott non ha messo in atto misure tecniche e organizzative adeguate per proteggere i dati personali elaborati sui propri sistemi (artt. 5.1, f) e 32, GDPR). 

L’Information Commissioner ha identificato quattro principali mancanze: 

  • insufficiente monitoraggio degli account privilegiati che, viceversa, avrebbe rilevato la violazione; 
  • insufficiente monitoraggio delle banche dati
  • mancata implementazione del server hardening come misura preventiva (ossia, riduzione delle vulnerabilità del server), ad esempio tramite whitelisting (cioè l’ammissione ai soli domini autorizzati); e 
  • la mancata crittografia di alcuni dati personali, inclusi alcuni numeri di passaporto.