Thông tin của 500 triệu khách của hệ thống khách sạn Marriott bị đánh cắp

Quy mô đầy đủ của vụ thất thoát vẫn chưa lường hết được ngay. Marriott đang cố gắng xác định xem các hồ sơ có cả các bản sao, chẳng hạn như một người ở khách sạn nhiều lần, có bị mất không.

Các thương hiệu khách sạn bị ảnh hưởng do Starwood điều hành trước khi được Marriott mua lại vào năm 2016. Các thương hiệu ấy bao gồm W Hotels, St. Regis, Sheraton, Westin, Element, Aloft, The Luxury Collection, Le Méridien và Four Points. Các bất động sản đồng sở hữu theo thời gian (timeshare) thương hiệu Starwood cũng bị ảnh hưởng. Không có chuỗi khách sạn mang thương hiệu Marriott nào bị đe dọa.

Vụ khủng hoảng nhanh chóng nổi lên như là một trong những sự cố dữ liệu lớn nhất được ghi nhận.

“Dựa theo thang điểm từ một đến mười trở lên, đây là một trong những vụ xâm phạm cỡ điểm mười. Chỉ có một vài vụ xâm phạm đạt quy mô này trong thập kỷ vừa qua,” Chris Wysopal, giám đốc công nghệ công ty bảo mật Veracode, nói.

Để so sánh, vụ tấn công Equifax hồi năm ngoái ảnh hưởng đến hơn 154 triệu người. Vụ xâmphạm Target năm 2013 ảnh hưởng hơn 41 triệu tài koản thẻ thanh toán và để lộ thông tin liên hệ tiếp xúc của hơn 60 triệu khách hàng.

Các nhà phân tích an ninh đặc biệt báo động là cần phải biết rằng xâm phạm bắt đầu từ năm 2014. Trong khi những thất bại như thế thường kéo dài vài tháng, bốn năm là quá mức, Yonatan Striem-Amit, giám đốc công nghệ của Cybereason, đánh giá.

Vẫn chưa rõ ràng tin tặc có thể làm gì với thông tin thẻ tín dụng. Mặc dầu chúng được lưu trữ dưới dạng mã hóa, có thể tin tặc cũng thu được hai thành phần cần thiết để giải mã các con số, công ty cho biết.

Đối với khoảng hai phần ba số người bị ảnh hưởng, dữ liệu bị lộ có thể gồm các địa chỉ thư từ, số điện thoại, địa chỉ email và số hộ chiếu. Cũng có thể gồm cả ngày sinh, giới tính, những ngày đặt phòng, thời gian đến và đi và thông tin tài khoản của Khách ưu đãi của Starwood (Starwood Preferred Guest).

“Chúng tôi đã thiếu sót đối với những gì khách hàng đáng được hưởng và những gì chúng tôi kỳ vọng ở chính mình,” CEO Arne Sorenson phát biểu trong một tuyên bố. “Chúng tôi đang làm tất cả những gì có thể để hỗ trợ khách hàng của chúng tôi và dùng những bài học rút ra được để tiến lên phía trước.”

Vụ vi phạm thông tin cá nhân có thể đặt Marriott vào việc vi phạm những luật về quyền riêng tư mới của châu Âu, vì trong số các khách hàng có cả những du khách châu Âu.

Marriott thiết lập một trang web và trung tâm cuộc gọi dành cho các khách hàng tin rằng họ có nguy cơ.

Vụ truy cập vào hệ thống đặt phòng của tin tặc có thể phiền toái nếu chúng, nói không biết chừng, là những gián điệp cấp quốc gia thay vì là những kẻ lừa đảo đơn giản tìm lợi ích tài chính, Jesse Varsalone, phó giáo sư về an ninh mạng Đại học Maryland, nói.

Thông tin đặt phòng có thể có ý nghĩa là khi nào và ở đâu các viên chức nhà nước đang đến, từ các căn cứu quân sự, các cuộc họp và các điểm đến khác ở nước ngoài, ông nói. “Có nhiều thứ mà bạn có thể ngoại suy từ những người ở khách sạn,” Varsalone nói.

Sự phong phú của dữ liệu làm cho vụ đánh cắp trở nên có một không hai, Wysopal nói. “Một khi anh biết được sở thích đến và đi, loại phòng của ai đó,” là có thể dùng buộc tội cho một người hoặc dùng cho một cuộc tấn công vào uy tín, vượt lên cả sự đánh cắp căn cước hoặc đánh cắp thẻ tín dụng như lâu nay,” ông nói.

Việc đánh cắp số hộ chiếu vừa qua vốn không phổ biến, mặc dầu cũng đã từng có. Hãng hàng không Hong Kong Cathay Pacific cho biết hồi tháng mười 9,4 triệu thông tin của hành khách bị vi phạm, trong đó có cả số hộ chiếu.

Số hộ chiếu thường được các khách sạn bên ngoài Hoa Kỳ yêu cầu vì giấy phép lái xe của Mỹ không được chấp nhận để thay thế giấy tờ tùy thân. Các con số hộ chiếu có thể được bổ sung vào bộ dữ liệu đầy đủ về một cá nhân được những kẻ gian bán trên thị trường chợ đen, dẫn đến hành vị ăn cắp danh tính.

Và trong khi ngành thẻ tín dụng có thể hủy bỏ các tài khoản và phát hành các thẻ mới trong vài ngày, việc có được một hộ chiếu mới lại là một quá trình khó khăn hơn do sự quan liêu của bộ máy hành chính.

Nhưng bù lại là các hộ chiếu thường được yêu cầu gặp đích thân người mang, Ryan Wilk, hãng NuData Security, nói. “Đó là một tài liệu rất an toàn với rất nhiều tính năng bảo mật,” ông nói.

Các thông báo qua email cho những người có thể bị ảnh hưởng bắt đầu triển khai hôm 30/11.

Khi lần đầu tiên được công bố sát nhập, Starwood đã có 21 triệu người trong chương trình khách hàng thân thiết. Công ty quản lý hơn 6.700 cơ sở khắp thế giới, hầu hết ở Bắc Mỹ.

Trong khi sự hối thúc đầu tiên đối với những người có thể bị ảnh hưởng bởi vụ vi phạm là kiểm tra thẻ tín dụng, các chuyên gia bảo mật cho rằng thông tin khác trong cơ sở dữ liệu có thể gây tai hại nhiều hơn.

Danh tính, địa chỉ, số hộ chiếu và thông tin cá nhân khác “là mối quan tâm lớn hơn thông tin thanh toán được mã hóa,” nhà phân tích Ted Rossman của CreditCards.com nói và lưu ý nguy cơ kẻ trộm có thể mở các tài khoản gian lận.

Một công cụ bảo mật nội bộ báo hiệu một khả năng vi phạm hồi đầu tháng chín, nhưng công ty đã không thể giải mã thông tin xác định dữ liệu nào có thể bị lộ cho đến cuối tuần qua.

Marriott, có trụ sở tại Bethesda, bang Maryland, Mỹ, cho biết trong một đơn nộp theo quy định rằng công ty đã sớm ước tính tác động tài chính của vụ vi phạm đối với công ty. Công ty có bảo hiểm mạng, và đang làm việc với các hãng bảo hiểm để đánh giá việc đền bù.

Các viên chức dân cử nhanh chóng kêu gọi hành động.

Tổng chưởng lý New York đã mở cuộc điều tra. Thượng nghị sĩ bang Virginia Mark Warner, đồng sáng lập Ủy ban an ninh quốc gia thượng viện, cho rằng Mỹ cần có luật hạn chế dữ liệu mà các công ty có thể thu thập từ khách hàng và bảo đảm rằng các công ty chịu chi phí an ninh thay vì bắt người tiêu dùng “gánh chịu và bị thiệt hại do những thất bại như thế.”

Trần Bích