萬(wàn)豪國(guó)際首席執(zhí)行官阿恩·索倫森(Arne Sorenson)昨日在美國(guó)參議院小組委員會(huì)面前作證，透露了去年披露的酒店連鎖安全漏洞的新細(xì)節(jié)。

在參議院國(guó)土安全委員會(huì)和政府事務(wù)常設(shè)調(diào)查小組委員會(huì)面前，索倫森向該公司的客戶道歉，但也打消了中國(guó)支持該黑客的謠言。

根據(jù)一份準(zhǔn)備好的證詞陳述，Sorenson說(shuō)，萬(wàn)豪第一次得知可能出現(xiàn)問(wèn)題的地方是去年9月8日，當(dāng)時(shí)管理喜達(dá)屋客戶預(yù)訂數(shù)據(jù)庫(kù)的IT公司埃森哲聯(lián)系了他們。

萬(wàn)豪此前已于2016年9月收購(gòu)了喜達(dá)屋連鎖酒店，并正在制定將客戶遷移至其客人預(yù)訂系統(tǒng)的計(jì)劃，但當(dāng)時(shí)，喜達(dá)屋系統(tǒng)仍與萬(wàn)豪其余網(wǎng)絡(luò)分開(kāi)。

但是在9月8日，埃森哲告訴萬(wàn)豪的IT員工，他們的一個(gè)安全產(chǎn)品，一個(gè)名為IBM Guardium的數(shù)據(jù)庫(kù)監(jiān)控系統(tǒng)，在9月7日前一天發(fā)現(xiàn)了喜達(dá)屋客人預(yù)訂數(shù)據(jù)庫(kù)的異常情況。

“Guardium警報(bào)是由管理員帳戶的查詢觸發(fā)的，用于返回?cái)?shù)據(jù)庫(kù)中表格的行數(shù)，”Sorenson說(shuō)。

此類查詢被認(rèn)為是危險(xiǎn)的，因?yàn)樵跀?shù)據(jù)庫(kù)之上運(yùn)行的軟件通常不需要進(jìn)行查詢。這意味著人類操作員手工制作這種非常具體的查詢。

“作為我們調(diào)查警報(bào)的一部分，我們了解到使用其憑據(jù)的個(gè)人實(shí)際上并沒(méi)有進(jìn)行查詢，”Sorenson說(shuō)。

此時(shí)，萬(wàn)豪的工作人員意識(shí)到他們正在處理可能的違規(guī)行為，盡管他們不知道在攻擊者訪問(wèn)任何用戶數(shù)據(jù)之前它是否是一個(gè)大的東西，或者只是一個(gè)非常容易被遏制的黑客的開(kāi)始。

該公司表示，它于9月10日引入第三方法醫(yī)調(diào)查員，以幫助其IT人員調(diào)查可能的違規(guī)行為。這家法醫(yī)公司在不到一周之后就發(fā)現(xiàn)了Starwood IT系統(tǒng)上的惡意軟件。

“調(diào)查人員發(fā)現(xiàn)了一種遠(yuǎn)程訪問(wèn)特洛伊木馬('RAT')，這是一種惡意軟件，允許攻擊者秘密訪問(wèn)，監(jiān)視，甚至控制計(jì)算機(jī)。當(dāng)天我正在接受調(diào)查的通知，我們的董事會(huì)是第二天通知，“首席執(zhí)行官說(shuō)。

首席執(zhí)行官表示，揭露全面的攻擊行為需要進(jìn)行大量的法醫(yī)工作。然而，盡管RAT在Starwood IT系統(tǒng)上存在，但在那時(shí)，沒(méi)有證據(jù)表明未授權(quán)方訪問(wèn)了喜達(dá)屋客戶預(yù)訂數(shù)據(jù)庫(kù)中的客戶數(shù)據(jù)。

但調(diào)查沒(méi)有停止。到了10月份，法醫(yī)公司還在10月份發(fā)現(xiàn)了Mimikatz，這是一種滲透測(cè)試工具，安全研究人員和黑客都使用它來(lái)搜索設(shè)備的內(nèi)存中的用戶名和密碼。該工具最有可能用于幫助黑客獲取其他喜達(dá)屋系統(tǒng)的密碼，并幫助他們轉(zhuǎn)移到IT網(wǎng)絡(luò)的其他部分。

然而，調(diào)查人員再次沒(méi)有發(fā)現(xiàn)黑客訪問(wèn)過(guò)客戶數(shù)據(jù)的證據(jù)。

11月，調(diào)查人員發(fā)現(xiàn)自2014年7月以來(lái)黑客一直活躍在喜達(dá)屋的IT網(wǎng)絡(luò)上，早在萬(wàn)豪收購(gòu)之前，黑客就從“可能壞”變?yōu)?ldquo;壞”。

這意味著黑客已經(jīng)運(yùn)營(yíng)了兩年多而沒(méi)有被發(fā)現(xiàn)，并使整個(gè)調(diào)查更加困難，因?yàn)榉ㄡt(yī)公司現(xiàn)在不得不挖掘多年的日志。

然而，仍然沒(méi)有黑客訪問(wèn)客戶數(shù)據(jù)的證據(jù)。

但不可避免的事情最終發(fā)生了，而且發(fā)生在11月中旬。Sorenson關(guān)于他們?nèi)绾我约昂螘r(shí)意識(shí)到黑客竊取喜達(dá)屋客戶數(shù)據(jù)的準(zhǔn)備聲明摘錄如下：

11月13日，我們的調(diào)查人員發(fā)現(xiàn)了兩個(gè)壓縮的加密文件已從他們正在檢查的設(shè)備中刪除的證據(jù)。文件已加密，實(shí)際內(nèi)容未知。還有證據(jù)表明這兩個(gè)文件可能已從喜達(dá)屋網(wǎng)絡(luò)中刪除。六天后，即2018年11月19日，調(diào)查人員能夠解密文件，發(fā)現(xiàn)其中一個(gè)包含從喜達(dá)屋賓客預(yù)訂數(shù)據(jù)庫(kù)中導(dǎo)出包含訪客數(shù)據(jù)的表格，而另一個(gè)包含導(dǎo)出護(hù)照信息的表格的導(dǎo)出。

此時(shí)，書(shū)寫(xiě)在墻上，它是用霓虹閃爍的燈寫(xiě)的。黑客已經(jīng)破壞了喜達(dá)屋的IT網(wǎng)絡(luò)，并從其客人預(yù)訂數(shù)據(jù)庫(kù)竊取了客戶詳細(xì)信息。

接下來(lái)的內(nèi)容現(xiàn)在已經(jīng)有了很好的記錄。該連鎖酒店通知當(dāng)局并于11月30日公開(kāi)披露其數(shù)據(jù)泄密事件，揭露了一項(xiàng)影響約5億客戶的違規(guī)行為，違反了該公司后來(lái)在2019年1月和3月再次更新的統(tǒng)計(jì)數(shù)據(jù)。

根據(jù)Sorenson準(zhǔn)備的聲明和喜達(dá)屋違規(guī)通知網(wǎng)站的最新消息，這些是圍繞萬(wàn)豪違規(guī)的最新統(tǒng)計(jì)數(shù)據(jù)：

3.83億客串記錄

1850萬(wàn)加密護(hù)照號(hào)碼

525萬(wàn)個(gè)未加密的護(hù)照號(hào)碼(來(lái)自美國(guó)的663,000個(gè))

910萬(wàn)加密支付卡號(hào)

在違約時(shí)仍然有效的385,000張卡號(hào)

萬(wàn)豪首席執(zhí)行官再次表示，調(diào)查工作尚未發(fā)現(xiàn)證據(jù)表明黑客獲得了用于加密支付卡號(hào)碼的加密密鑰，這意味著大多數(shù)受損的支付卡號(hào)碼對(duì)攻擊者來(lái)說(shuō)仍然無(wú)用。

此外，受影響的酒店客人總數(shù)達(dá)到3.83億，甚至可能更小。

“在許多情況下，同一客戶似乎有多個(gè)記錄，但由于數(shù)據(jù)的性質(zhì)，進(jìn)一步的重復(fù)數(shù)據(jù)刪除不能輕易執(zhí)行，”Sorenson說(shuō)。“我們無(wú)法自信地確定具有相似名稱的記錄，甚至具有不同地址的相同名稱，是代表一個(gè)人還是多個(gè)人，但我們已經(jīng)相當(dāng)確定地得出了涉及少于3.83億獨(dú)立客人的信息。”

索倫森表示，披露違規(guī)行為也是一項(xiàng)巨大努力，涉及通知聯(lián)邦調(diào)查局，所有美國(guó)州檢察長(zhǎng)，美國(guó)聯(lián)邦貿(mào)易委員會(huì)，美國(guó)證券交易委員會(huì)，20個(gè)不同國(guó)家的監(jiān)管機(jī)構(gòu)，四家主要支付卡網(wǎng)絡(luò)及其信用卡處理供應(yīng)商，以及三家美國(guó)公司。信用報(bào)告機(jī)構(gòu)。

代表支付卡網(wǎng)絡(luò)工作的調(diào)查小組仍在調(diào)查黑客行為，與萬(wàn)豪的團(tuán)隊(duì)和美國(guó)當(dāng)局分開(kāi)。

在回答參議院小組委員會(huì)提出的問(wèn)題時(shí)，索倫森還談到了美國(guó)國(guó)務(wù)卿邁克龐培去年在接受“狐貍與朋友”采訪時(shí)發(fā)表的聲明，其中白宮官員將黑客歸咎于中國(guó)黑客。

“簡(jiǎn)短的回答是我們不知道，”當(dāng)被問(wèn)及Pompeo的言論時(shí)，Sorenson說(shuō)道。“即使從我們獲得的信息中得出推論，我也感到不足。”

這里有Sorenson證詞的錄音。

在同一次聽(tīng)證會(huì)上，Equifax的新任首席執(zhí)行官M(fèi)ark Begor也接受了有關(guān)其公司2017年黑客行為的采訪。他沒(méi)有透露任何新??的信息，因?yàn)镋quifax官員已經(jīng)在參議院委員會(huì)面前工作了一年多，而且有關(guān)2017年黑客行為的詳細(xì)信息已經(jīng)為人所知。

我們以前發(fā)布的有關(guān)Equifax公司的文章破解驗(yàn)尸這里，如果用戶有興趣了解公司是如何受到影響。