La catena di hotel Marriott è stata colpita da un secondo attacco hacker che ha portato ad un consistente security breach e che ha coinvolto i dati di oltre 5 milioni di utenti iscritti alla Loyalty App. Il precedente incidente di sicurezza ha invece riguardato sempre un attacco che ha portato però al furto di 382 milioni di registrazioni degli ospiti (dati di contatto e relativi alla prenotazione), nonché la sottrazione di oltre 25 milioni di dati relativi a passaporti (5 milioni non cifrati e 20 milioni cifrati) e dei dati cifrati riferibili a 8 milioni di pagamenti (numeri di carta di credito).
I dati esposti all’ultimo attacco riguardano dati di contatto, dati anagrafici, informazioni relative alla Loyalty App ed ulteriori informazioni relative alla prenotazione, che possono spaziare dall’azienda ai servizi connessi (es. adesione a programmi fedeltà o promozioni) alle preferenze riguardanti il pernottamento e l’utilizzo dei servizi degli hotel. L’attuale stato dell’analisi svolta da Marriott esclude l’accesso a password, PIN, dati relativi a pagamenti o documenti (passaporti, carte di identità, etc.), ed è stato predisposto un portale per consentire a ciascun utente di verificare se i propri dati sono stati coinvolti nell’attacco e quali dati possono essere stati compromessi. La fonte dell’attacco è stata l’impiego da parte di un cybercriminale delle credenziali di accesso di due impiegati per ottenere l’accesso tramite backend al database dell’applicazione.
L’occasione offre due spunti di riflessione.
Un primo, più immediato, riguarda la necessità di adottare un metodo per la gestione degli incidenti di sicurezza. Tale metodo deve necessariamente prevedere almeno un’analisi dell’incidente con un approccio di tipo lesson learned e orientato verso la maggiore garanzia di totale trasparenza nei confronti dei propri utenti/consumatori/interessati per quanto riguarda la descrizione dell’accaduto e dei rischi (attuali e potenziali) derivanti. Adottare un metodo comporta la creazione di procedure che, per poter essere efficaci ed efficienti, devono non soltanto essere adeguatamente progettate in riferimento al contesto (tecnologico, organizzativo e di attività) della loro creazione ma anche periodicamente verificate al fine di poterne assicurare un’operatività continua e la migliore reattività in caso di violazioni riscontrate o segnalate. Devono essere considerati, oltre al fattore temporale, anche i fattori del contenimento del danno, della sua riparazione e la corretta comunicazione tanto nei confronti delle autorità che degli interessati.
Un secondo spunto riguarda invece il riscontro dell’esigenza di tutelare di ogni tipo di database da minacce di attacchi esterni senza alcuno spazio per scuse quali una asserita e non (o mal) provata “poca appetibilità” di tali dati. Il dato digitale è estremamente appetibile, in quanto la sua combinazione con ulteriori informazioni può consentire il furto di identità, lo svolgimento di campagne di phishing, la diffusione di malware o ulteriori azioni da parte dei cybercriminali per accedere fraudolentemente ad altri dati degli interessati o dei loro contatti (colleghi, familiari, aziende cui sono collegati).
Sottostimare in modo apodittico l’appetibilità di un database comunemente diffuso, contenente contatti e dati di pagamento, è un errore molto grave in quanto porta inevitabili errori in sede di individuazione e analisi delle minacce e delle relative contromisure. Il costo di tale errore grava, in caso di security breach e attacchi mirati, tanto sugli interessati quanto, in sede di attribuzione di responsabilità, sull’organizzazione che detiene il database.
