Ze schijnen er sinds kort (8 september) wat van te weten bij marriot. Iets wat je niet weet niet melden kan niet strafbaar zijn.
Het is redelijk verklaarbaar met de grote hoeveelheid overnames consolidaties outsourcing uitbesteding.
Bijna elke grote ICT partij heeft wel eens iets gemeld over samenwerking en software met de hotels en starwood. Er zijn ook wat minder bekende namen bij heel specifiek voor die branche.
In het hotelwezen is security mogelijk gelijk aan de fysieke beveiliging, informatieverwerking laat je aan anderen over..

Misschien kunnen ze jou in dienst nemen, jij bent goed in informatieverwerking naar eigen zeggen. En zo te lezen weet je al precies wat er fout is gegaan.

\

Begin me te ergeren aan mensen die al precies weten wat er loos is zonder de betreffende mensen gesproken te hebben en zonder de infra structuur van het bedrijf, Bah !

Helaas voor hem maar dat zullen ze niet doen. De beste stuurlui staan namelijk altijd aan wal.

Da's mooi - maar als niet kan worden uitgesloten dat de indringers, in al die tijd dat zij toegang hadden, ook de sleutel hebben bemachtigd, heb je daar niet zoveel aan.

@Bitwiper: dat is zeker een punt. Aangezien aanvallers al 4 jaar niet opgemerkt werden kun je ook moeilijk nog een valide conclusie uit logfiles of een forensic onderzoek trekken. Wie weet waar men allemaal toegang tot had en welke log-files nog betrouwbaar zijn.

Het is te hopen dat er koppen gaan rollen onder management maar zoals we al jaren zien waait dit waarschijnlijk gewoon over. Niemand ligt er wakker van en de klant gebruikt nog vrolijk hetzelfde wachtwoord op zijn andere online diensten. Pas wanneer celstraffen uitgedeeld kunnen worden zal er heel misschien eens meer aandacht onder management voor beveiliging komen.

..

Ik heb er totaal geen belangstelling voor. Je kunt het beste nog naar Paaschen stappen. Nederlander en de CEO daar voor de kritieke jaren dat het met deze hach ingezet werd.
Ik beter in de analyses en van daaruit de verbeteringen wat mogelijk is. Wat als een paaltje boven water staat dat dat is nerd gedoe zeker niet bijgedragen heeft in een veilige situatie.
Alsof je de fysieke bewaker hoort zeggen dat hij de beste handboeien op zak heeft. Geheel nutteloos als hij niet de situaties krijgt om het te gebruiken.

Hebben jullie als radicale extremisten nog inhoudelijks wat over deze zaak? Google eens of je wat over het securitybeid in de ict hoek kan vinden. Of geef eens aan hoe ze een en ander ingevuld hebben ter afscherming anders dan dat het ee externe partij wel doet.

Alleen is 8 september alweer bijna drie maanden geleden. Wat mogelijk strafbaar is in de VS is dat ze de autoriteiten niet veel sneller na de ontdekking hebben ingelicht. En de EU kan ook een probleem opleveren, daar eist de GDPR dat binnen 72 uur na ontdekking melding wordt gemaakt.

Dit gaat niet over de periode dat men nog niets wist maar over de manier van reageren toen men ontdekt had dat er iets ernstigs gaande was.

Dus jij weet blijkbaar al dat in deze zaak "nerds" de schuldigen zijn?

@THE FOSS - FREE RADICAL: Als er een arrestatieteam voor onze deur staat dan weten we alvast waarom we opgepakt worden, we zijn radicale extremisten...

Nomen est omen? Meteen maar accountnaam aangepast!


De papieren tijger aanpak? Nee dank je, dat leidt tot niets. Maar nooit te beroerd om jou te helpen met wat zoeken op Google! Hier heb je een mooi overzichtje van beveiligingsproblemen in de hotelbranche: https://skift.com/2018/11/30/marriotts-starwood-data-breach-joins-a-decade-long-list-of-hotel-data-exposures/.

Wat je moest zien te vinden is dat ze die richtlijnen gedragen en ondersteund vanuit de top ingezet hebben.

Ik vond nogal wat oss inzet. Inderdaad de belofte dat een ander het wel gratis en voor niets jouw verantwoordelijkheden zou invullen. Geen wonder dat er van die lange lijsten datalekken ontstaan.
Je onwil om voor een business alignment te gaan is duidelijk.
https://www.security.nl/posting/587922/ISO+standaarden+voor+management

Heb je trouwens in de gaten dat in jouw link globaal het zelfde staat als ik beweer?

Hahaha! Denk je nou serieus dat je anderen kan instrueren om met de papieren tijger aanpak aan de slag te gaan en ze dan achteraf de maat nemen over hoe dat gelukt is? Wat heb je geslikt?


Ach, ach, hij denkt weer een aanleiding te zien om OSS zwart te maken! Nou, vriend, dit hele debacle zit meer in de papieren tijger hoek! Want OSS heeft zich allang bewezen, in het gebruik door technologiegiganten als Google en Amazon.


Nee (want dat is niet zo).

Technisch gaat er iets fout dat niet fout had mogen gaan. En je kan dus juist op basis van de richtlijnen traceren waar het fout ging en waarom het fout gaan. Daarvoor zijn juist procedures uitgevonden. En iemand heeft zicht daar niet aangehouden.

Het onaangepaste gedrag van os Nerds die anderen van hun geloof moeten overtuigen met persoonlijke aanvallen is een van de oorzaken. Triest dat je ongelijk op die manier aantoont.

Heb je trouwens spg R c-plex al gevonden. Tevens Oracle linux sap de hele waslijst.

Maar moet de beschuldigende vinger niet juist in de eerste plaats gaan naar de grote technologiebedrijven als Google, Amazon, facebook, etc.?. "Security through obscurity" is wat we overal vinden. Ook is inherent aan het Amerikaanse multinational big business model? Zodat ze boeten gewoon incalculeren in hun business plan. Als het beter voor hen is de boel gewoon onveilig houden, dan collaboreren en corrumperen ze hand in voet met overheden via globalisten all sorts.
En dit wordt alleen maar driester en drastischer.

Github opgekocht door Microsoft, veel andere software oplossingen opgekocht en daarna moedwillig de vernieling in geholpen vaak (denk aan het Nederlandse studenteninitiatief, HijackThis, destijds en er zijn nog legio andere voorbeelden te noemen.

De contra bewegingen zijn er wel, maar te weinig en te spaarzaam en te laat.

Voorbeeldje uit de praktijk van alle dag. Doorsnee "nog veilige" website - disown-opener- 3 beveiligingszwakheden, no-diallowed-headers idem 2, no-protocol-relative-urls 1, sri, 33, strict-transport-security 12, validate-set-cookie-header 4,
x-content-type-options 32, no-vulnerable-javascript-libraries 1, ssllabs 1. Ga je lekker mee.

De beveiligingstoestand op Internet lijkt veel op die in de Wild Western town van 1863, cybercriminals & ad-pusher Big Bussiness graaiers regeren het stadje. De sheriff is gevlucht en men wacht op Lucky-linux-Luke wellicht? De bewoners van het stadje verschuilen zich achter firewalls, vpn's en blokkeeroplossingen. Is dit Internet Global Village 2018?

1 miljoen Nederlanders stoppen met facebook. Dan is er toch wat aan de hand? Maar net als bij de politiek, autoriteiten zijn wereldvreemd en hebben geen echte antwoorden op de onvrede, want een CEO moet immers 180 keer meer verdienen dan de IT-er op de werkvloer. Vroeger ging men hier de barricaden voor op. Nu is het oorverdovend stil. Nog een wonder dat je er iets over hoort en dan gaat men weer snel over naar de orde van de dag, effe updaten en patchen.

Iemand hierover, behalve over de linux versus propriety software oppositie dan? Is "The Foss" een geel hesje op het Internet? Jammer, dat de aangesprokenen niet met je in overleg gaan. Jammer, dat niemand reageert,
misschien alleen via hacken en manipulatie en als het niet anders kan botte info-censuur. Waar zijn we toch aanbeland?

Je neemt jezelf wel serieus hè? Helaas (of misschien maar goed ook) ben je daarin de enige...


Irrelevant! Het beste gereedschap is immers nutteloos als je er niet mee kan omgaan!

Ik heb een blogpost van een voormalige senior vice president van Starwood gevonden [1] die meldt dat Starwood zijn oude mainframegebaseerde reserveringssysteem in een project van 10 jaar heeft vervangen door een systeem dat Valhalla heet en op SOA en "open system frameworks" is gebaseerd. Toen kwam de overname door Marriott en dat besloot in 2016 dat hele Valhalla af te schaffen en Starwood in het mainframegebaseerde systeem van Marriott mee te laten draaien. Dat lijkt nog niet van kracht te zijn, ze hebben het over verschillende systemen en de aanlogpagina voor Valhalla is te vinden op het web.

Wat deze ex-manager precies onder "open system frameworks" verstaat is me niet duidelijk, open kan op meer dan alleen open source slaan. Wat ik wel heb gevonden is dat Valhalla gebaseerd werd op Looking Glass en SOAPstation van Actional [2]. Dat is in ieder geval geen open source. De licentiekosten voor SOAPstation begonnen in 2003 bij $50.000 per CPU [3]. Maar een jaar na dat bericht is Actional overgenomen door Progress software, en daar zie ik de twee pakketten niet meer onder die naam staan [4].

Ik krijg niet de indruk dat dat 10 jaar aan ontwikkelinspanning en de keuze voor software die niet bepaald gratis is getuigt van de nonchalante mentaliteit die jij beschrijft. Het is duidelijk dat er iets niet goed genoeg beveiligd was, maar dit lijkt een organisatie te zijn die serieus bereid was in automatisering te investeren.

Vraag: kan jij de links delen waaruit blijkt dat:
a) Starwood veel gebruik maakt van OSS, zoals je stelt te hebben gevonden, en
b) Starwood aannam dat verantwoordelijkheden wel gratis zouden worden ingevuld door OSS?

[1] https://www.hospitalitynet.org/opinion/4078764.html
[2] http://connection.ebscohost.com/c/articles/18859925/starwood-aims-enterprise-valhalla
[3] https://www.infoworld.com/article/2680179/application-development/actional-boosts-web-services-broker.html
[4] https://www.progress.com/

Voor wat betreft a) Ik ben op zoek gegaan naar spg en analytics.

[5] https://digit.hbs.org/submission/how-traditional-business-leverage-data-analytics-starwood-hotel/ (2017)
"... a dynamic pricing system. According to Venturebeat, the software platform is named DORM inside Starwood. It is comprised of a multi-tier architecture that uses R, the statistical modeling language, ... " Iets verder
"Ironically, similar analytics are also being aggressively developed and refined by disruptors in the hotel value chain namely the intermediates OTAs, i.e Priceline, Expedia and Airbnb which boasts 2MM listings today.
De zelfde tekst in https://www.cio.com/article/3070384/analytics/starwood-taps-machine-learning-to-dynamically-price-hotel-rooms.html. R als tool is open source.

Met jouw eerste link is de connectie met de vendor duidelijk. Met de inzet van de tools had ik dan eerder cognos dan wel watson verwacht …. Check even de job openings ...Uh ja de hele reeks tools komt weer langs.
Met deze https://www.businessinsider.com/ibm-wins-big-contract-with-marriott-2015-2

[6] https://blogs.oracle.com/profit/marriotts-digital-hospitality dan wel https://blogs.oracle.com/bigdata/3-companies-harness-big-data-to-drive-big-returns ook ander leveranciers, verwacht ze gewoon allemaal "The company, which operates 1,200 properties in nearly 100 countries and 200,000 employees, transitioned to Oracle Exadata Database Machine running on Oracle Linux. "


Voor wat betreft b) Je kent vast de verhalen van Target en Maersk,
Bij Target hadden ze 200M uitgegeven aan fireeys maar het soc center was in India gedropt. Het Cert proces was er niet goed op met reacties. Bij Maersk is de ICT grotendeel uitbesteed. Men was op de hoogte dat de security niet goed was maar een C-level bestuurder die er wat mee deed was niet te vinden.
Ik heb niets over de security kunnen vinden, dan maar het annual report in.[ur]https://marriott.gcs-web.com/search?query=2017+annual+report[/url] Onderaan pag 17 is een vooruitziende blik
"Cyber-attacks could have a disruptive effect on our business. Efforts to hack or breach security measures, failures of
systems or software to operate as designed or intended, viruses, “ransomware” or other malware, operator error, or inadvertent releases of data may materially impact our information systems and records and those of our owners, franchisees, licensees, or service providers. " Je kunt de board of directors ook vinden, kun je daar iets van ICT terugzien?

Marriet weet officieel pas sinds kort van eventuele problemen.
Giecheltoets: Ik kijk nooit op de snelheidsmeter van mijn voertuig. Omdat ik niet weet dat ik te hard rijd, ben ik nooit strafbaar.
Gelukkig is de echte wereld heel anders dan de ook echte internet-wereld...

Nou, in dat geval zal het niet aan de uitstekende onderliggende software liggen nietwaar? Het zal wel weer het gebruikelijke papieren tijger wanbeleid zijn. Je weet wel, van die types die de hele tijd op zoek zijn naar 'verbeterpunten'; vol zijn van 'key process indicators'; promotors van het 'personal software process', en meer van dat soort geneuzel ;-)

Het gaat inderdaad mis ... door het eigenwijze gedoe van Nerds die niets van policies richtlijnen moeten hebben.

Die voor jouw papieren tijgers hebben we nog niet gevonden bij starwood Marriot. Zouden we die hebben dan is er nog de stap te gaan dat ze niet door die betweters gesaboteerd zijn.

Typerend is jaarverslag vele alinea's over het succes en belang van spg ofwel big data analytics. Voor de Cyber dreiging een paar zinnen.
Haal je nu eens ing voor de geest. Het zelfde verhaal promotie over hoe goed ze de klant kennen, hoe fantastisch hun big data projecten zijn. Vervolgens het jerkennen van witwaspraktijken en ander twijfelachtige transactie niet thuis geven. Heb ik niet verzonnen, ing heeft daarvoor met een boete geschikt.

Als men besluit niet in beveiliging te investeren, krijg je dit.

Als men kiest voor andere buzzwords, krijg je dit.

Deze juiste configuratie had de Not-Petya ellende destijds bij Maersk kunnen voorkomen:
https://blogs.technet.microsoft.com/poshchap/2015/05/01/security-focus-analysing-account-is-sensitive-and-cannot-be-delegated-for-privileged-accounts/

Security through obscurity is steeds het grootste obstakel waar men tegenaanloopt.

Dit speelt een rol in het boekingsproces (dynamisch bepalen van prijzen). Er is dus een component die een open source programmeertaal gebruikt.

En ze gebruiken een propriëtair DBMS dat op de Linux-distro van de commerciële leverancier van dat DBMS draait.

Hoe blijkt daaruit dat bij Starwood dit geldt:
Je antwoord:
Dat zijn compleet andere ondernemingen, heel andere soorten ondernemingen zelfs, die zeggen niets over de situatie bij Starwood.

Over Marriot vond je:
Dat zegt niets over propriëtaire versus open source software.

Dank overigens voor je uitgebreide antwoord. Ik haal eruit dat er inderdaad hier en daar open source is ingezet, maar niet dat dat een rol heeft gespeeld in dit datalek en ook niet dat de reden om ervoor te kiezen iets te maken heeft met "gratis en voor niets jouw verantwoordelijkheden [...] invullen" te maken heeft. Men heeft voor Oracle Linux gekozen omdat het propriëtaire Oracle Exadata daar nou eenmaal op draait, en dat R voor statistische analyses wordt ingezet is niet vreemd, het staat hoog aangeschreven daarvoor.

Wat de oorzaak van het datalek is is tot nu toe niet bekendgemaakt. Het lijkt me duidelijk dat het om een complexe IT-infrastructuur gaat waarin heel wat verschillende dingen gaande zijn. Dat betekent ook dat het op heel wat verschillende plaatsen en manieren misgegaan kan zijn en dat je als buitenstaander niet zomaar naar onderdelen kan gaan wijzen, dat is voorbarig. We hebben geen idee of die open sourcecomponenten iets met dit datalek te maken hebben. Voor hetzelfde geld is een slecht beheerd Windows-systeem bij een van de aangesloten hotels de ingang geweest en is er privilege-escalatie gebruikt om het netwerk bevoegdheden te verkrijgen in softwarecomponenten die helemaal niet ter sprake zijn geweest.

Het gebruik van een paar open source-componenten (of wat dan ook) gebruiken om een mentaliteit die jij ermee associeert op een organisatie die je niet door en door kent te projecteren getuigt eerder van je laten leiden door vooroordelen dan door inzicht en analytisch vermogen. Dat laatste houdt namelijk ook in dat je inziet wanneer je niet over de informatie beschikt waarmee je een situatie kan beoordelen.

Over R, https://www.r-project.org/doc/R-FDA.pdf zie hoofdstuk 7. Daar staat het deel hoe de security is ingevuld. Via de OS controls omdat R zelf er niets voor heeft. Een stukje mentaliteit zie je terug via https://www.r-bloggers.com/yes-you-can-run-r-in-the-cloud-securely. Het heeft voor de statistici een goede naam.
Zeker als ze alle data ongecontroleerd kunnen gaan benaderen en van allerlei algoritmes ergens vandaan plukken die ze niet kunnen uitleggen. Het eerste van deze drie mag positief zijn die andere twee niet.
Ik zie het gebruik in de zelfde hoek van ongecontroleerde Excel spreadsheets plaats vinden.


Het is vaak voorkomende situatie open source via commerciële leveranciers en commerciële dienstverleners. Die commerciëlen verdienen graag veel op een makkelijke manier. Je krijgt het argument te horen als klant OSS dus veilig wij en jullie hoeven er niets aan te doen en vooral niet nadenken.


Het zegt wel degelijk iets over de aansturing en het beleid. Die top managers zijn er namelijk trots op dat het niet uitmaakt om wat voor soort bedrijf is waar ze leiding aan geven. Dat zie je terug in commisariaten bij de NL bedrijven.


Gezien de ervaringen die ik in dat betreffende werkveld heb (meerdere organisatie) kan ik dat doortrekken. Het zijn geen vooroordelen op niets eerder een regressielijn. Combineer dat met alle meldingen van de grootste datalekken via cloud storage en NOsql database dan is dat het meest waarschijnlijke scenario.

Ze weten in 2018 dat het sinds 2015 speelt en dat het om dat grote aantal gaat. Dan is een desktop als bron onwaarschijnlijk. Eerder dat er een migratie met iets is ingezet en dat toen wat opgevallen is.
Zoals je zegt een uitgebreide complexe omgeving. Als je scenario van een endpoint naar centraal waar zou zijn dan hebben ze de netwerksegmentatie niet op orde, In ieder geval was de IDS niet voldoende.

Ik ben niet blij met de waarneming en gevolgtrekkingen. Verbetering kan pas plaats gaan vinden als het breder erkend wordt.

GEZWETS! Dat argument heb ik nog nooit iemand daadwerkelijk horen gebruiken! De enige die meent hiermee te maken te hebben ben jij!


Nogmaals: GEZWETS! Werkelijk de enige plek waar ik ooit ben tegengekomen dat OSS hiertoe zou leiden tot is hier en door jou. En de meldingen van datalekken in openstaande of met een standaard wachtwoord afgeschermde databases zijn eveneens totaal irrelevant! Dat moet je zoeken in de hoek van papieren tijgers en luie beheerders.