image

Een na grootste datalek ooit bij hotelketen Marriott

zondag 2 december 2018, 18:20 door Redactie, 25 reacties

Gegevens van maar liefst 500 miljoen Marriott hotelbezoekers zijn gelekt. Criminelen hebben gedurende een periode van 4 jaar toegang gehad tot een reserveringsdatabase van dochterbedrijf Starwood. Het datalek betreft gegevens van de periode 2014 tot september 2018.

In 327 miljoen gevallen gaat het om bijzonder gevoelige gegevens. Het gaat om namen, geboortedata, telefoonnummers, e-mailadressen en paspoortnummers. In een aantal gevallen gaat het tevens om creditcardinformatie. De creditcardinformatie is volgens Mariott wel met AES-128 versleuteld.

Op 8 september 2018 kreeg Marriott een waarschuwing van een intern beveiligingspprogramma dat een poging om toegang te krijgen tot de Starwood-reserveringsdatabase registreerde. Nader onderzoek maakte meteen duidelijk dat er al sinds 4 jaar ongeautoriseerde toegang was tot het Starwood-netwerk.

De keten waarschuwt momenteel gedupeerden via e-mail en heeft een informatiepagina gepubliceerd. Ook heeft de keten een callcenter geopend om vragen omtrent het datalek te kunnen beantwoorden.

Het betreft het een na grootste datalek ooit. In 2013 meldde Yahoo een datalek dat nog groter was, hier ging het uiteindelijk om drie miljard accounts.

De New Yorkse openbaar aanklager heeft aangekondigd een onderzoek te starten naar het datalek. De hotelketen zou hebben verzuimd de New Yorkse autoriteiten in te lichten over het datalek, hetgeen strafbaar is. Ook justitie in de staat Illinois verricht nader onderzoek naar het datalek.

Reacties (25)
02-12-2018, 18:51 door karma4
Ze schijnen er sinds kort (8 september) wat van te weten bij marriot. Iets wat je niet weet niet melden kan niet strafbaar zijn.
Het is redelijk verklaarbaar met de grote hoeveelheid overnames consolidaties outsourcing uitbesteding.
Bijna elke grote ICT partij heeft wel eens iets gemeld over samenwerking en software met de hotels en starwood. Er zijn ook wat minder bekende namen bij heel specifiek voor die branche.
In het hotelwezen is security mogelijk gelijk aan de fysieke beveiliging, informatieverwerking laat je aan anderen over..
02-12-2018, 20:48 door [Account Verwijderd]
Door karma4: Ze schijnen er sinds kort (8 september) wat van te weten bij marriot. Iets wat je niet weet niet melden kan niet strafbaar zijn.
Het is redelijk verklaarbaar met de grote hoeveelheid overnames consolidaties outsourcing uitbesteding.
Bijna elke grote ICT partij heeft wel eens iets gemeld over samenwerking en software met de hotels en starwood. Er zijn ook wat minder bekende namen bij heel specifiek voor die branche.
In het hotelwezen is security mogelijk gelijk aan de fysieke beveiliging, informatieverwerking laat je aan anderen over..

Misschien kunnen ze jou in dienst nemen, jij bent goed in informatieverwerking naar eigen zeggen. En zo te lezen weet je al precies wat er fout is gegaan.
02-12-2018, 22:15 door Anoniem
Door karma4: Ze schijnen er sinds kort (8 september) wat van te weten bij marriot. Iets wat je niet weet niet melden kan niet strafbaar zijn.
Het is redelijk verklaarbaar met de grote hoeveelheid overnames consolidaties outsourcing uitbesteding.
Bijna elke grote ICT partij heeft wel eens iets gemeld over samenwerking en software met de hotels en starwood. Er zijn ook wat minder bekende namen bij heel specifiek voor die branche.
In het hotelwezen is security mogelijk gelijk aan de fysieke beveiliging, informatieverwerking laat je aan anderen over..
\

Begin me te ergeren aan mensen die al precies weten wat er loos is zonder de betreffende mensen gesproken te hebben en zonder de infra structuur van het bedrijf, Bah !
02-12-2018, 22:54 door -karma4 - Bijgewerkt: 02-12-2018, 23:01
Door linux4:
Door karma4: Ze schijnen er sinds kort (8 september) wat van te weten bij marriot. Iets wat je niet weet niet melden kan niet strafbaar zijn.
Het is redelijk verklaarbaar met de grote hoeveelheid overnames consolidaties outsourcing uitbesteding.
Bijna elke grote ICT partij heeft wel eens iets gemeld over samenwerking en software met de hotels en starwood. Er zijn ook wat minder bekende namen bij heel specifiek voor die branche.
In het hotelwezen is security mogelijk gelijk aan de fysieke beveiliging, informatieverwerking laat je aan anderen over..

Misschien kunnen ze jou in dienst nemen, jij bent goed in informatieverwerking naar eigen zeggen. En zo te lezen weet je al precies wat er fout is gegaan.

Helaas voor hem maar dat zullen ze niet doen. De beste stuurlui staan namelijk altijd aan wal.
02-12-2018, 23:50 door Bitwiper
De creditcardinformatie is volgens Mariott wel met AES-128 versleuteld.
Da's mooi - maar als niet kan worden uitgesloten dat de indringers, in al die tijd dat zij toegang hadden, ook de sleutel hebben bemachtigd, heb je daar niet zoveel aan.
03-12-2018, 06:54 door Anoniem
@Bitwiper: dat is zeker een punt. Aangezien aanvallers al 4 jaar niet opgemerkt werden kun je ook moeilijk nog een valide conclusie uit logfiles of een forensic onderzoek trekken. Wie weet waar men allemaal toegang tot had en welke log-files nog betrouwbaar zijn.

Het is te hopen dat er koppen gaan rollen onder management maar zoals we al jaren zien waait dit waarschijnlijk gewoon over. Niemand ligt er wakker van en de klant gebruikt nog vrolijk hetzelfde wachtwoord op zijn andere online diensten. Pas wanneer celstraffen uitgedeeld kunnen worden zal er heel misschien eens meer aandacht onder management voor beveiliging komen.
03-12-2018, 07:36 door karma4 - Bijgewerkt: 03-12-2018, 07:40
Door linux4: ...
Misschien kunnen ze jou in dienst nemen, jij bent goed in informatieverwerking naar eigen zeggen. En zo te lezen weet je al precies wat er fout is gegaan.
..
Door THE FOSS - FREE RADICAL:
Helaas voor hem maar dat zullen ze niet doen. De beste stuurlui staan namelijk altijd aan wal.

Ik heb er totaal geen belangstelling voor. Je kunt het beste nog naar Paaschen stappen. Nederlander en de CEO daar voor de kritieke jaren dat het met deze hach ingezet werd.
Ik beter in de analyses en van daaruit de verbeteringen wat mogelijk is. Wat als een paaltje boven water staat dat dat is nerd gedoe zeker niet bijgedragen heeft in een veilige situatie.
Alsof je de fysieke bewaker hoort zeggen dat hij de beste handboeien op zak heeft. Geheel nutteloos als hij niet de situaties krijgt om het te gebruiken.

Hebben jullie als radicale extremisten nog inhoudelijks wat over deze zaak? Google eens of je wat over het securitybeid in de ict hoek kan vinden. Of geef eens aan hoe ze een en ander ingevuld hebben ter afscherming anders dan dat het ee externe partij wel doet.
03-12-2018, 07:40 door Anoniem
Door karma4: Ze schijnen er sinds kort (8 september) wat van te weten bij marriot. Iets wat je niet weet niet melden kan niet strafbaar zijn.
Alleen is 8 september alweer bijna drie maanden geleden. Wat mogelijk strafbaar is in de VS is dat ze de autoriteiten niet veel sneller na de ontdekking hebben ingelicht. En de EU kan ook een probleem opleveren, daar eist de GDPR dat binnen 72 uur na ontdekking melding wordt gemaakt.

Dit gaat niet over de periode dat men nog niets wist maar over de manier van reageren toen men ontdekt had dat er iets ernstigs gaande was.
03-12-2018, 08:25 door [Account Verwijderd] - Bijgewerkt: 03-12-2018, 08:31
karma4:


Wat als een paaltje boven water staat dat dat is nerd gedoe zeker niet bijgedragen heeft in een veilige situatie.
Alsof je de fysieke bewaker hoort zeggen dat hij de beste handboeien op zak heeft. Geheel nutteloos als hij niet de situaties krijgt om het te gebruiken.

Hebben jullie als radicale extremisten nog inhoudelijks wat over deze zaak?

Dus jij weet blijkbaar al dat in deze zaak "nerds" de schuldigen zijn?

@THE FOSS - FREE RADICAL: Als er een arrestatieteam voor onze deur staat dan weten we alvast waarom we opgepakt worden, we zijn radicale extremisten...
03-12-2018, 10:17 door -karma4 - Bijgewerkt: 03-12-2018, 10:20
Door linux4: @THE FOSS - FREE RADICAL: Als er een arrestatieteam voor onze deur staat dan weten we alvast waarom we opgepakt worden, we zijn radicale extremisten...

Nomen est omen? Meteen maar accountnaam aangepast!

Door karma4: Hebben jullie als radicale extremisten nog inhoudelijks wat over deze zaak? Google eens of je wat over het securitybeid in de ict hoek kan vinden. Of geef eens aan hoe ze een en ander ingevuld hebben ter afscherming anders dan dat het ee externe partij wel doet.

De papieren tijger aanpak? Nee dank je, dat leidt tot niets. Maar nooit te beroerd om jou te helpen met wat zoeken op Google! Hier heb je een mooi overzichtje van beveiligingsproblemen in de hotelbranche: https://skift.com/2018/11/30/marriotts-starwood-data-breach-joins-a-decade-long-list-of-hotel-data-exposures/.
03-12-2018, 11:51 door karma4 - Bijgewerkt: 03-12-2018, 12:00
Door The FOSS:
De papieren tijger aanpak? Nee dank je, dat leidt tot niets. Maar nooit te beroerd om jou te helpen met wat zoeken op Google! Hier heb je een mooi overzichtje van beveiligingsproblemen in de hotelbranche: https://skift.com/2018/11/30/marriotts-starwood-data-breach-joins-a-decade-long-list-of-hotel-data-exposures/.
Wat je moest zien te vinden is dat ze die richtlijnen gedragen en ondersteund vanuit de top ingezet hebben.

Ik vond nogal wat oss inzet. Inderdaad de belofte dat een ander het wel gratis en voor niets jouw verantwoordelijkheden zou invullen. Geen wonder dat er van die lange lijsten datalekken ontstaan.
Je onwil om voor een business alignment te gaan is duidelijk.
https://www.security.nl/posting/587922/ISO+standaarden+voor+management

Heb je trouwens in de gaten dat in jouw link globaal het zelfde staat als ik beweer?
03-12-2018, 12:04 door -karma4
Door karma4:
Door The FOSS:
De papieren tijger aanpak? Nee dank je, dat leidt tot niets. Maar nooit te beroerd om jou te helpen met wat zoeken op Google! Hier heb je een mooi overzichtje van beveiligingsproblemen in de hotelbranche: https://skift.com/2018/11/30/marriotts-starwood-data-breach-joins-a-decade-long-list-of-hotel-data-exposures/.
Wat je moest zien te vinden is dat ze die richtlijnen gedragen en ondersteund vanuit de top ingezet hebben.

Hahaha! Denk je nou serieus dat je anderen kan instrueren om met de papieren tijger aanpak aan de slag te gaan en ze dan achteraf de maat nemen over hoe dat gelukt is? Wat heb je geslikt?

Door karma4: Ik vond nogal wat oss inzet. Inderdaad de belofte dat een ander het wel gratis en voor niets jouw verantwoordelijkheden zou invullen. Geen wonder dat er van die lange lijsten datalekken ontstaan.
Je onwil om voor een business alignment te gaan is duidelijk.
https://www.security.nl/posting/587922/ISO+standaarden+voor+management

Ach, ach, hij denkt weer een aanleiding te zien om OSS zwart te maken! Nou, vriend, dit hele debacle zit meer in de papieren tijger hoek! Want OSS heeft zich allang bewezen, in het gebruik door technologiegiganten als Google en Amazon.

Door karma4: Heb je trouwens in de gaten dat in jouw link globaal het zelfde staat als ik beweer?

Nee (want dat is niet zo).
03-12-2018, 12:21 door Anoniem
Door The FOSS:
Door karma4:
Door The FOSS:
De papieren tijger aanpak? Nee dank je, dat leidt tot niets. Maar nooit te beroerd om jou te helpen met wat zoeken op Google! Hier heb je een mooi overzichtje van beveiligingsproblemen in de hotelbranche: https://skift.com/2018/11/30/marriotts-starwood-data-breach-joins-a-decade-long-list-of-hotel-data-exposures/.
Wat je moest zien te vinden is dat ze die richtlijnen gedragen en ondersteund vanuit de top ingezet hebben.

Hahaha! Denk je nou serieus dat je anderen kan instrueren om met de papieren tijger aanpak aan de slag te gaan en ze dan achteraf de maat nemen over hoe dat gelukt is? Wat heb je geslikt?
Technisch gaat er iets fout dat niet fout had mogen gaan. En je kan dus juist op basis van de richtlijnen traceren waar het fout ging en waarom het fout gaan. Daarvoor zijn juist procedures uitgevonden. En iemand heeft zicht daar niet aangehouden.
03-12-2018, 12:36 door karma4
Door The FOSS: ....
Hahaha! Denk je nou serieus dat je anderen kan instrueren om met de papieren tijger aanpak aan de slag te gaan en ze dan achteraf de maat nemen over hoe dat gelukt is? Wat heb je geslikt?
...
Het onaangepaste gedrag van os Nerds die anderen van hun geloof moeten overtuigen met persoonlijke aanvallen is een van de oorzaken. Triest dat je ongelijk op die manier aantoont.

Heb je trouwens spg R c-plex al gevonden. Tevens Oracle linux sap de hele waslijst.
03-12-2018, 12:56 door Anoniem
Maar moet de beschuldigende vinger niet juist in de eerste plaats gaan naar de grote technologiebedrijven als Google, Amazon, facebook, etc.?. "Security through obscurity" is wat we overal vinden. Ook is inherent aan het Amerikaanse multinational big business model? Zodat ze boeten gewoon incalculeren in hun business plan. Als het beter voor hen is de boel gewoon onveilig houden, dan collaboreren en corrumperen ze hand in voet met overheden via globalisten all sorts.
En dit wordt alleen maar driester en drastischer.

Github opgekocht door Microsoft, veel andere software oplossingen opgekocht en daarna moedwillig de vernieling in geholpen vaak (denk aan het Nederlandse studenteninitiatief, HijackThis, destijds en er zijn nog legio andere voorbeelden te noemen.

De contra bewegingen zijn er wel, maar te weinig en te spaarzaam en te laat.

Voorbeeldje uit de praktijk van alle dag. Doorsnee "nog veilige" website - disown-opener- 3 beveiligingszwakheden, no-diallowed-headers idem 2, no-protocol-relative-urls 1, sri, 33, strict-transport-security 12, validate-set-cookie-header 4,
x-content-type-options 32, no-vulnerable-javascript-libraries 1, ssllabs 1. Ga je lekker mee.

De beveiligingstoestand op Internet lijkt veel op die in de Wild Western town van 1863, cybercriminals & ad-pusher Big Bussiness graaiers regeren het stadje. De sheriff is gevlucht en men wacht op Lucky-linux-Luke wellicht? De bewoners van het stadje verschuilen zich achter firewalls, vpn's en blokkeeroplossingen. Is dit Internet Global Village 2018?

1 miljoen Nederlanders stoppen met facebook. Dan is er toch wat aan de hand? Maar net als bij de politiek, autoriteiten zijn wereldvreemd en hebben geen echte antwoorden op de onvrede, want een CEO moet immers 180 keer meer verdienen dan de IT-er op de werkvloer. Vroeger ging men hier de barricaden voor op. Nu is het oorverdovend stil. Nog een wonder dat je er iets over hoort en dan gaat men weer snel over naar de orde van de dag, effe updaten en patchen.

Iemand hierover, behalve over de linux versus propriety software oppositie dan? Is "The Foss" een geel hesje op het Internet? Jammer, dat de aangesprokenen niet met je in overleg gaan. Jammer, dat niemand reageert,
misschien alleen via hacken en manipulatie en als het niet anders kan botte info-censuur. Waar zijn we toch aanbeland?
03-12-2018, 13:02 door -karma4 - Bijgewerkt: 03-12-2018, 13:03
Door karma4:
Door The FOSS: ....
Hahaha! Denk je nou serieus dat je anderen kan instrueren om met de papieren tijger aanpak aan de slag te gaan en ze dan achteraf de maat nemen over hoe dat gelukt is? Wat heb je geslikt?
...
Het onaangepaste gedrag van os Nerds die anderen van hun geloof moeten overtuigen met persoonlijke aanvallen is een van de oorzaken. Triest dat je ongelijk op die manier aantoont.

Je neemt jezelf wel serieus hè? Helaas (of misschien maar goed ook) ben je daarin de enige...

Door karma4: Heb je trouwens spg R c-plex al gevonden. Tevens Oracle linux sap de hele waslijst.

Irrelevant! Het beste gereedschap is immers nutteloos als je er niet mee kan omgaan!
03-12-2018, 15:15 door Anoniem
Door karma4: Ik vond nogal wat oss inzet.
Ik heb een blogpost van een voormalige senior vice president van Starwood gevonden [1] die meldt dat Starwood zijn oude mainframegebaseerde reserveringssysteem in een project van 10 jaar heeft vervangen door een systeem dat Valhalla heet en op SOA en "open system frameworks" is gebaseerd. Toen kwam de overname door Marriott en dat besloot in 2016 dat hele Valhalla af te schaffen en Starwood in het mainframegebaseerde systeem van Marriott mee te laten draaien. Dat lijkt nog niet van kracht te zijn, ze hebben het over verschillende systemen en de aanlogpagina voor Valhalla is te vinden op het web.

Wat deze ex-manager precies onder "open system frameworks" verstaat is me niet duidelijk, open kan op meer dan alleen open source slaan. Wat ik wel heb gevonden is dat Valhalla gebaseerd werd op Looking Glass en SOAPstation van Actional [2]. Dat is in ieder geval geen open source. De licentiekosten voor SOAPstation begonnen in 2003 bij $50.000 per CPU [3]. Maar een jaar na dat bericht is Actional overgenomen door Progress software, en daar zie ik de twee pakketten niet meer onder die naam staan [4].

Inderdaad de belofte dat een ander het wel gratis en voor niets jouw verantwoordelijkheden zou invullen.
Ik krijg niet de indruk dat dat 10 jaar aan ontwikkelinspanning en de keuze voor software die niet bepaald gratis is getuigt van de nonchalante mentaliteit die jij beschrijft. Het is duidelijk dat er iets niet goed genoeg beveiligd was, maar dit lijkt een organisatie te zijn die serieus bereid was in automatisering te investeren.

Vraag: kan jij de links delen waaruit blijkt dat:
a) Starwood veel gebruik maakt van OSS, zoals je stelt te hebben gevonden, en
b) Starwood aannam dat verantwoordelijkheden wel gratis zouden worden ingevuld door OSS?

[1] https://www.hospitalitynet.org/opinion/4078764.html
[2] http://connection.ebscohost.com/c/articles/18859925/starwood-aims-enterprise-valhalla
[3] https://www.infoworld.com/article/2680179/application-development/actional-boosts-web-services-broker.html
[4] https://www.progress.com/
03-12-2018, 19:40 door karma4 - Bijgewerkt: 03-12-2018, 20:25
Door Anoniem:
Vraag: kan jij de links delen waaruit blijkt dat:
a) Starwood veel gebruik maakt van OSS, zoals je stelt te hebben gevonden, en
b) Starwood aannam dat verantwoordelijkheden wel gratis zouden worden ingevuld door OSS?

Voor wat betreft a) Ik ben op zoek gegaan naar spg en analytics.

[5] https://digit.hbs.org/submission/how-traditional-business-leverage-data-analytics-starwood-hotel/ (2017)
"... a dynamic pricing system. According to Venturebeat, the software platform is named DORM inside Starwood. It is comprised of a multi-tier architecture that uses R, the statistical modeling language, ... " Iets verder
"Ironically, similar analytics are also being aggressively developed and refined by disruptors in the hotel value chain namely the intermediates OTAs, i.e Priceline, Expedia and Airbnb which boasts 2MM listings today.
De zelfde tekst in https://www.cio.com/article/3070384/analytics/starwood-taps-machine-learning-to-dynamically-price-hotel-rooms.html. R als tool is open source.

Met jouw eerste link is de connectie met de vendor duidelijk. Met de inzet van de tools had ik dan eerder cognos dan wel watson verwacht …. Check even de job openings ...Uh ja de hele reeks tools komt weer langs.
Met deze https://www.businessinsider.com/ibm-wins-big-contract-with-marriott-2015-2

[6] https://blogs.oracle.com/profit/marriotts-digital-hospitality dan wel https://blogs.oracle.com/bigdata/3-companies-harness-big-data-to-drive-big-returns ook ander leveranciers, verwacht ze gewoon allemaal "The company, which operates 1,200 properties in nearly 100 countries and 200,000 employees, transitioned to Oracle Exadata Database Machine running on Oracle Linux. "


Voor wat betreft b) Je kent vast de verhalen van Target en Maersk,
Bij Target hadden ze 200M uitgegeven aan fireeys maar het soc center was in India gedropt. Het Cert proces was er niet goed op met reacties. Bij Maersk is de ICT grotendeel uitbesteed. Men was op de hoogte dat de security niet goed was maar een C-level bestuurder die er wat mee deed was niet te vinden.
Ik heb niets over de security kunnen vinden, dan maar het annual report in.[ur]https://marriott.gcs-web.com/search?query=2017+annual+report[/url] Onderaan pag 17 is een vooruitziende blik
"Cyber-attacks could have a disruptive effect on our business. Efforts to hack or breach security measures, failures of
systems or software to operate as designed or intended, viruses, “ransomware” or other malware, operator error, or inadvertent releases of data may materially impact our information systems and records and those of our owners, franchisees, licensees, or service providers. " Je kunt de board of directors ook vinden, kun je daar iets van ICT terugzien?
03-12-2018, 21:33 door Anoniem
Marriet weet officieel pas sinds kort van eventuele problemen.
Giecheltoets: Ik kijk nooit op de snelheidsmeter van mijn voertuig. Omdat ik niet weet dat ik te hard rijd, ben ik nooit strafbaar.
Gelukkig is de echte wereld heel anders dan de ook echte internet-wereld...
03-12-2018, 21:55 door -karma4 - Bijgewerkt: 03-12-2018, 22:27
Door karma4: [6] https://blogs.oracle.com/profit/marriotts-digital-hospitality dan wel https://blogs.oracle.com/bigdata/3-companies-harness-big-data-to-drive-big-returns ook ander leveranciers, verwacht ze gewoon allemaal "The company, which operates 1,200 properties in nearly 100 countries and 200,000 employees, transitioned to Oracle Exadata Database Machine running on Oracle Linux. "

Nou, in dat geval zal het niet aan de uitstekende onderliggende software liggen nietwaar? Het zal wel weer het gebruikelijke papieren tijger wanbeleid zijn. Je weet wel, van die types die de hele tijd op zoek zijn naar 'verbeterpunten'; vol zijn van 'key process indicators'; promotors van het 'personal software process', en meer van dat soort geneuzel ;-)
03-12-2018, 22:56 door karma4
Door The FOSS: .....
Nou, in dat geval zal het niet aan de uitstekende onderliggende software liggen nietwaar? Het zal wel weer het gebruikelijke papieren tijger wanbeleid zijn. ..... promotors van het 'personal software process', en meer van dat soort geneuzel ;-)
Het gaat inderdaad mis ... door het eigenwijze gedoe van Nerds die niets van policies richtlijnen moeten hebben.

Die voor jouw papieren tijgers hebben we nog niet gevonden bij starwood Marriot. Zouden we die hebben dan is er nog de stap te gaan dat ze niet door die betweters gesaboteerd zijn.

Typerend is jaarverslag vele alinea's over het succes en belang van spg ofwel big data analytics. Voor de Cyber dreiging een paar zinnen.
Haal je nu eens ing voor de geest. Het zelfde verhaal promotie over hoe goed ze de klant kennen, hoe fantastisch hun big data projecten zijn. Vervolgens het jerkennen van witwaspraktijken en ander twijfelachtige transactie niet thuis geven. Heb ik niet verzonnen, ing heeft daarvoor met een boete geschikt.
04-12-2018, 00:09 door Anoniem
Als men besluit niet in beveiliging te investeren, krijg je dit.

Als men kiest voor andere buzzwords, krijg je dit.

Deze juiste configuratie had de Not-Petya ellende destijds bij Maersk kunnen voorkomen:
https://blogs.technet.microsoft.com/poshchap/2015/05/01/security-focus-analysing-account-is-sensitive-and-cannot-be-delegated-for-privileged-accounts/

Security through obscurity is steeds het grootste obstakel waar men tegenaanloopt.
04-12-2018, 17:14 door Anoniem
Door karma4:
Door Anoniem:
Vraag: kan jij de links delen waaruit blijkt dat:
a) Starwood veel gebruik maakt van OSS, zoals je stelt te hebben gevonden, en
b) Starwood aannam dat verantwoordelijkheden wel gratis zouden worden ingevuld door OSS?

Voor wat betreft a) Ik ben op zoek gegaan naar spg en analytics.

[...] R als tool is open source.
Dit speelt een rol in het boekingsproces (dynamisch bepalen van prijzen). Er is dus een component die een open source programmeertaal gebruikt.

"The company, which operates 1,200 properties in nearly 100 countries and 200,000 employees, transitioned to Oracle Exadata Database Machine running on Oracle Linux. "
En ze gebruiken een propriëtair DBMS dat op de Linux-distro van de commerciële leverancier van dat DBMS draait.

Hoe blijkt daaruit dat bij Starwood dit geldt:
Inderdaad de belofte dat een ander het wel gratis en voor niets jouw verantwoordelijkheden zou invullen.
Je antwoord:
Voor wat betreft b) Je kent vast de verhalen van Target en Maersk,
Dat zijn compleet andere ondernemingen, heel andere soorten ondernemingen zelfs, die zeggen niets over de situatie bij Starwood.

Over Marriot vond je:
Ik heb niets over de security kunnen vinden, dan maar het annual report in.[ur]https://marriott.gcs-web.com/search?query=2017+annual+report[/url] Onderaan pag 17 is een vooruitziende blik
"Cyber-attacks could have a disruptive effect on our business. Efforts to hack or breach security measures, failures of
systems or software to operate as designed or intended, viruses, “ransomware” or other malware, operator error, or inadvertent releases of data may materially impact our information systems and records and those of our owners, franchisees, licensees, or service providers. " Je kunt de board of directors ook vinden, kun je daar iets van ICT terugzien?
Dat zegt niets over propriëtaire versus open source software.

Dank overigens voor je uitgebreide antwoord. Ik haal eruit dat er inderdaad hier en daar open source is ingezet, maar niet dat dat een rol heeft gespeeld in dit datalek en ook niet dat de reden om ervoor te kiezen iets te maken heeft met "gratis en voor niets jouw verantwoordelijkheden [...] invullen" te maken heeft. Men heeft voor Oracle Linux gekozen omdat het propriëtaire Oracle Exadata daar nou eenmaal op draait, en dat R voor statistische analyses wordt ingezet is niet vreemd, het staat hoog aangeschreven daarvoor.

Wat de oorzaak van het datalek is is tot nu toe niet bekendgemaakt. Het lijkt me duidelijk dat het om een complexe IT-infrastructuur gaat waarin heel wat verschillende dingen gaande zijn. Dat betekent ook dat het op heel wat verschillende plaatsen en manieren misgegaan kan zijn en dat je als buitenstaander niet zomaar naar onderdelen kan gaan wijzen, dat is voorbarig. We hebben geen idee of die open sourcecomponenten iets met dit datalek te maken hebben. Voor hetzelfde geld is een slecht beheerd Windows-systeem bij een van de aangesloten hotels de ingang geweest en is er privilege-escalatie gebruikt om het netwerk bevoegdheden te verkrijgen in softwarecomponenten die helemaal niet ter sprake zijn geweest.

Het gebruik van een paar open source-componenten (of wat dan ook) gebruiken om een mentaliteit die jij ermee associeert op een organisatie die je niet door en door kent te projecteren getuigt eerder van je laten leiden door vooroordelen dan door inzicht en analytisch vermogen. Dat laatste houdt namelijk ook in dat je inziet wanneer je niet over de informatie beschikt waarmee je een situatie kan beoordelen.
05-12-2018, 19:16 door karma4
Door Anoniem:

[...] R als tool is open source.
Dit speelt een rol in het boekingsproces (dynamisch bepalen van prijzen). Er is dus een component die een open source programmeertaal gebruikt.
..
en dat R voor statistische analyses wordt ingezet is niet vreemd, het staat hoog aangeschreven daarvoor.
Over R, https://www.r-project.org/doc/R-FDA.pdf zie hoofdstuk 7. Daar staat het deel hoe de security is ingevuld. Via de OS controls omdat R zelf er niets voor heeft. Een stukje mentaliteit zie je terug via https://www.r-bloggers.com/yes-you-can-run-r-in-the-cloud-securely. Het heeft voor de statistici een goede naam.
Zeker als ze alle data ongecontroleerd kunnen gaan benaderen en van allerlei algoritmes ergens vandaan plukken die ze niet kunnen uitleggen. Het eerste van deze drie mag positief zijn die andere twee niet.
Ik zie het gebruik in de zelfde hoek van ongecontroleerde Excel spreadsheets plaats vinden.


En ze gebruiken een propriëtair DBMS dat op de Linux-distro van de commerciële leverancier van dat DBMS draait.
Het is vaak voorkomende situatie open source via commerciële leveranciers en commerciële dienstverleners. Die commerciëlen verdienen graag veel op een makkelijke manier. Je krijgt het argument te horen als klant OSS dus veilig wij en jullie hoeven er niets aan te doen en vooral niet nadenken.



Dat zijn compleet andere ondernemingen, heel andere soorten ondernemingen zelfs, die zeggen niets over de situatie bij Starwood.
Het zegt wel degelijk iets over de aansturing en het beleid. Die top managers zijn er namelijk trots op dat het niet uitmaakt om wat voor soort bedrijf is waar ze leiding aan geven. Dat zie je terug in commisariaten bij de NL bedrijven.


Dank overigens voor je uitgebreide antwoord. Ik haal eruit dat er inderdaad hier en daar open source is ingezet, maar niet dat dat een rol heeft gespeeld in dit datalek ..
….
Het gebruik van een paar open source-componenten (of wat dan ook) gebruiken om een mentaliteit die jij ermee associeert op een organisatie die je niet door en door kent te projecteren getuigt eerder van je laten leiden door vooroordelen dan door inzicht en analytisch vermogen. Dat laatste houdt namelijk ook in dat je inziet wanneer je niet over de informatie beschikt waarmee je een situatie kan beoordelen.

Gezien de ervaringen die ik in dat betreffende werkveld heb (meerdere organisatie) kan ik dat doortrekken. Het zijn geen vooroordelen op niets eerder een regressielijn. Combineer dat met alle meldingen van de grootste datalekken via cloud storage en NOsql database dan is dat het meest waarschijnlijke scenario.

Ze weten in 2018 dat het sinds 2015 speelt en dat het om dat grote aantal gaat. Dan is een desktop als bron onwaarschijnlijk. Eerder dat er een migratie met iets is ingezet en dat toen wat opgevallen is.
Zoals je zegt een uitgebreide complexe omgeving. Als je scenario van een endpoint naar centraal waar zou zijn dan hebben ze de netwerksegmentatie niet op orde, In ieder geval was de IDS niet voldoende.

Ik ben niet blij met de waarneming en gevolgtrekkingen. Verbetering kan pas plaats gaan vinden als het breder erkend wordt.
06-12-2018, 14:16 door -karma4
Door karma4:
Door Anoniem: En ze gebruiken een propriëtair DBMS dat op de Linux-distro van de commerciële leverancier van dat DBMS draait.
Het is vaak voorkomende situatie open source via commerciële leveranciers en commerciële dienstverleners. Die commerciëlen verdienen graag veel op een makkelijke manier. Je krijgt het argument te horen als klant OSS dus veilig wij en jullie hoeven er niets aan te doen en vooral niet nadenken.

GEZWETS! Dat argument heb ik nog nooit iemand daadwerkelijk horen gebruiken! De enige die meent hiermee te maken te hebben ben jij!

Door karma4:

Dank overigens voor je uitgebreide antwoord. Ik haal eruit dat er inderdaad hier en daar open source is ingezet, maar niet dat dat een rol heeft gespeeld in dit datalek ..
….
Het gebruik van een paar open source-componenten (of wat dan ook) gebruiken om een mentaliteit die jij ermee associeert op een organisatie die je niet door en door kent te projecteren getuigt eerder van je laten leiden door vooroordelen dan door inzicht en analytisch vermogen. Dat laatste houdt namelijk ook in dat je inziet wanneer je niet over de informatie beschikt waarmee je een situatie kan beoordelen.

Gezien de ervaringen die ik in dat betreffende werkveld heb (meerdere organisatie) kan ik dat doortrekken. Het zijn geen vooroordelen op niets eerder een regressielijn. Combineer dat met alle meldingen van de grootste datalekken via cloud storage en NOsql database dan is dat het meest waarschijnlijke scenario.

Nogmaals: GEZWETS! Werkelijk de enige plek waar ik ooit ben tegengekomen dat OSS hiertoe zou leiden tot is hier en door jou. En de meldingen van datalekken in openstaande of met een standaard wachtwoord afgeschermde databases zijn eveneens totaal irrelevant! Dat moet je zoeken in de hoek van papieren tijgers en luie beheerders.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.