25 miljoen paspoortnummers gestolen bij hack hotelketen Marriott
Bij de hack van hotelketen Marriott zijn ruim 25 miljoen paspoortnummers gestolen, waarvan er 5,25 miljoen onversleuteld waren. Dat schrijft het bedrijf in een update over het incident dat afgelopen november bekend werd gemaakt.
Het Marriott meldde toen dat aanvallers gedurende een periode van 4 jaar toegang hebben gehad tot een reserveringsdatabase van dochterbedrijf Starwood. Daarbij zijn klantgegevens buitgemaakt van de periode 2014 tot september 2018. In eerste instantie liet de hotelketen weten dat gegevens van 500 miljoen klanten waren gestolen. Dat aantal is nu naar beneden bijgesteld naar maximaal 383 miljoen.
Verder zijn er bij de aanval 25,5 miljoen paspoortnummers gestolen, waarvan er 5,25 miljoen onversleuteld waren. Volgens het Marriott zijn er geen aanwijzingen dat de aanvallers toegang hebben gekregen tot de decryptiesleutel om de versleutelde paspoortnummers te ontsleutelen. Het Marriott gaat het voor klanten mogelijk maken om te controleren of hun paspoortnummers tussen de gestolen onversleutelde paspoortnummers zitten.
Tevens zijn de versleutelde gegevens van 8,6 miljoen betaalkaarten buitgemaakt. Wederom stelt het Marriott dat er geen aanwijzingen zijn dat de aanvallers de vereiste decryptiesleutel in handen hebben om de gegevens te ontsleutelen. Afsluitend meldt de hotelketen dat het gebruik van de Starwood-reserveringsdatabase is uitgefaseerd en alles via het eigen Marriott-systeem loopt.
Reacties (14)
04-01-2019, 14:45 door
karma4
Paspoortnummers SSN BSN ze mogen gewoon niet als bewijs van identiteit gezien worden. Het kan enkel gebruikt worden om aan te tonen dat de stap van het overnemen van dat gegeven voor wettelijke verplichtingen dat je een zo goed mogelijke (niet perse foutloos) proces hebt.
Afsluitend meldt de hotelketen dat het gebruik van de Starwoord-reserveringsdatabase is uitgefaseerd en alles via het eigen Marriott-systeem loopt.
Wat natuurlijk geen garantie is dat het nu "100% veilig" is.Door karma4: Paspoortnummers SSN BSN ze mogen gewoon niet als bewijs van identiteit gezien worden. Het kan enkel gebruikt worden om aan te tonen dat de stap van het overnemen van dat gegeven voor wettelijke verplichtingen dat je een zo goed mogelijke (niet perse foutloos) proces hebt.
Probleem is: Het is nu eenmaal een fait accompli dat het toch op grote schaal gebeurt, en gewone burgers hebben er 0 invloed op. In geval van een fait accompli is het geen optie om de beveiliging tegen misbruik maar achterwege te laten omdat het niet zo zou moeten zijn, two wrongs tellen in dat geval niet op als een right.
Kan dit even ge CC'd naar deze of gene politicus, voordat ze bedenken om het Nederlands paspoort nòg onmogelijker en nòg veel duurder te maken? Dat die een wakker worden? En dat ik gewoon weer eens met een niet criminele uitdrukking op mijn foto kan rondlopen? Bril af. Achtergrond niet goed. Niet lachen. Vingerafdruk. Het lijkt wel of je naar een concentratiekamp gaat tegenwoordig.
Terwijl als ik niet lach op die foto, bijna niemand me herkent en ziet dat ik het echt ben. Ik lach altijd!
Terwijl als ik niet lach op die foto, bijna niemand me herkent en ziet dat ik het echt ben. Ik lach altijd!
Daarom heeft Ancilla vd Leest een punt met de mogelijkheid om je BSN te kunnen wijzigen. Al het andere kun je wijzigen (Ratelband onzin buitrn beschouwing gelaten).
Ik begin dit jaar een civiel proces, omdat iets met privacy. De overhrid bzk wil niet helpen. Ik weet nog niet welke reden ik ga aandragen maar bij geen hulp wil ik ook geen zure gezichten.
Privacy is namelijk in het belang van velen.
Ik begin dit jaar een civiel proces, omdat iets met privacy. De overhrid bzk wil niet helpen. Ik weet nog niet welke reden ik ga aandragen maar bij geen hulp wil ik ook geen zure gezichten.
Privacy is namelijk in het belang van velen.
Door karma4: Paspoortnummers SSN BSN ze mogen gewoon niet als bewijs van identiteit gezien worden. Het kan enkel gebruikt worden om aan te tonen dat de stap van het overnemen van dat gegeven voor wettelijke verplichtingen dat je een zo goed mogelijke (niet perse foutloos) proces hebt.
Ik weet niet welke hotels in welke landen betreft en welke wetgeving omtrent paspoort kopie daar gelden.Wel van belang denk ik.
Door karma4: Paspoortnummers SSN BSN ze mogen gewoon niet als bewijs van identiteit gezien worden. Het kan enkel gebruikt worden om aan te tonen dat de stap van het overnemen van dat gegeven voor wettelijke verplichtingen dat je een zo goed mogelijke (niet perse foutloos) proces hebt.
Even doordenken: het gaat sluipenderwijs, dus niet alle persoonsgegevens in 1 keer.Daarbij komt dat het geld waard is: de data kan worden verkocht of verschijnt misschien op het darkweb.
En er komt eens een tijd dat men een systeem hackt dat alle bijbehorende peroonsgegevens van een persoon laat zien
wanneer men slechts het paspoortnummer invoert. Kwestie van geduld hebben. Geen punt bij het karwei.
De data kan immers heel lang bewaard blijven met nauwelijks inspanning.
Paspoortnummers? Kun je daar wat mee? Lijkt me vergelijkbaar met het "buitmaken" van een telefoonboek vol met namen adressen en telefoonnummers... Niet of nauwelijks waardevol.
Door Anoniem: Even doordenken: het gaat sluipenderwijs, dus niet alle persoonsgegevens in 1 keer.
Daarbij komt dat het geld waard is: de data kan worden verkocht of verschijnt misschien op het darkweb.
En er komt eens een tijd dat men een systeem hackt dat alle bijbehorende peroonsgegevens van een persoon laat zien
wanneer men slechts het paspoortnummer invoert. Kwestie van geduld hebben. Geen punt bij het karwei.
De data kan immers heel lang bewaard blijven met nauwelijks inspanning.
Daarbij komt dat het geld waard is: de data kan worden verkocht of verschijnt misschien op het darkweb.
En er komt eens een tijd dat men een systeem hackt dat alle bijbehorende peroonsgegevens van een persoon laat zien
wanneer men slechts het paspoortnummer invoert. Kwestie van geduld hebben. Geen punt bij het karwei.
De data kan immers heel lang bewaard blijven met nauwelijks inspanning.
Van oorsprong is het bsn sofi-nummer klantnummer bedoeld om administratieve fouten met de administraties te voorkomen. Dat is ook net waarvoor het geschikt is niet meer. https://www.rvig.nl/documenten/publicaties/2007/07/19/memorie-van-toelichting-voorstel-wet-burgerservicenummer of je nu het paspoortnummer gebruikt of bsn maakt weinig uit. Alleen dat naw en het kunnen veranderen van een paspoortnummer maakt de achterliggende administraties zo gevoelig op fouten.
Het gaat inderdaad sluipenderwijs:
- wij moeten het als verwerker controleren maar weten niet hoe, laten we het probleen (onwettelijk) afschuiven op de persoon.
- Als de administratie maar kloppend is dan hebben wij zogenaamd gen probleem, laat de klant persoon maar met de brokken zitten.
Daarmee krijgt de data waarde voor misbruik want het misbruik wordt onwettelijk gefaciliteerd.
- Als laatste gaan we zeggen dat de klant persoon zijn bsn mar geheim had moeten houden. Het is de omgekeerde wereld,
Door Anoniem: Daarom heeft Ancilla vd Leest een punt met de mogelijkheid om je BSN te kunnen wijzigen. Al het andere kun je wijzigen (Ratelband onzin buitrn beschouwing gelaten).
...
Ik begin dit jaar een civiel proces, omdat iets met privacy. De overhrid bzk wil niet helpen. Ik weet nog niet welke reden ik ga aandragen maar bij geen hulp wil ik ook geen zure gezichten.
...
Privacy is namelijk in het belang van velen.
Daarmee ben met de zelfde onzin als Ratelband bezig. Je snapt het probleem niet waarvoor een bsn opgezet is en begint het onwettelijk onjuiste gebruikt te faciliteren als een privacy kwestie. ...
Ik begin dit jaar een civiel proces, omdat iets met privacy. De overhrid bzk wil niet helpen. Ik weet nog niet welke reden ik ga aandragen maar bij geen hulp wil ik ook geen zure gezichten.
...
Privacy is namelijk in het belang van velen.
Als je voor privacy zou zijn, dan zou je er naar toe werken dat een niets zeggend bsn nummer niet misbruikt kan worden ook al kan iedereen zo'n nummer zien..
Door karma4: Paspoortnummers SSN BSN ze mogen gewoon [...]
Door karma4:Van oorsprong is het bsn sofi-nummer klantnummer bedoeld [...]
Zou je eens leestekens toe willen gaan passen? Die bestaan niet voor niets. Ze verbeteren de leesbaarheid en zijn zelfs vaak nodig om de betekenis goed over te brengen.Door Anoniem:
https://onzetaal.nl/taaladvies/opsommingen-leestekens-en-hoofdletters Lijkt me en eerste en veel belangrijkere stap om elkaar te willen begrijpen. Een vorm van opmaak helpt weinig als het doel is om niet te willen nadenken / communiceren.Door karma4: Paspoortnummers SSN BSN ze mogen gewoon [...]
Door karma4:Van oorsprong is het bsn sofi-nummer klantnummer bedoeld [...]
Zou je eens leestekens toe willen gaan passen? Die bestaan niet voor niets. Ze verbeteren de leesbaarheid en zijn zelfs vaak nodig om de betekenis goed over te brengen.Hoe kan het dat:
Er nog steeds vastgehouden wordt aan: dat een bsn weten gelijk staat aan het leveren van het bewijs van de juiste persoon
https://arxiv.org/pdf/1602.04182.pdf vol met leestekens met nog steeds niet te begrijpen voor de gewone man.
http://nowiknow.com/why-stealing-americas-nuclear-secrets-was-easy-as-pi/
"the security measures were called “laughable” and “always a headache.” (The sign pictured above, via here, was one such example.) For Feynman, though, they were a source of entertainment. As the book explains:
[Feynman] noticed a hole in the fence surrounding Los Alamos — so he walked through the main gate, waved to the guard, and then crawled back through the hole and walked out the main gate again. He repeated this several times. Feynman was almost arrested. His antics became part of Los Alamos lore."
Weten we ook waar de godsvrezende zakenmannen rondhangen. Ik vrees dat deez datalekken alleen zullen toenemen bij het gebrek aan adequate beveiliging.
Het gaat inderdaad sluipenderwijs:
- wij moeten het als verwerker controleren maar weten niet hoe, laten we het probleen (onwettelijk) afschuiven op de persoon.
- Als de administratie maar kloppend is dan hebben wij zogenaamd gen probleem, laat de klant persoon maar met de brokken zitten.
Daarmee krijgt de data waarde voor misbruik want het misbruik wordt onwettelijk gefaciliteerd.
Maar dat bedoelde ik uiteraard niet. - wij moeten het als verwerker controleren maar weten niet hoe, laten we het probleen (onwettelijk) afschuiven op de persoon.
- Als de administratie maar kloppend is dan hebben wij zogenaamd gen probleem, laat de klant persoon maar met de brokken zitten.
Daarmee krijgt de data waarde voor misbruik want het misbruik wordt onwettelijk gefaciliteerd.
Trouwens een (vals) paspoortnummer is al oldoende om gebruik te maken van een hotel.
Dat is nodig om te bewijzen dat jij daar geweest bent onder andere ivm touristenbelasting.
Maar stel een ID-vervalser maakt er een zootje van of pleegt een misdaad? Wie komen ze dan op het spoor? (niet de dader, want die blijkt in dat hotel nooit te zijn geweest volgens de ingezamelde paspoortnummers van het hotel)
Maar doorsnee mensen weten niet eens te bedenken hoe en waar alleen een paspoortnummer voor misbruikt zou kunnen worden. Om daarachter te komen zal men eerst eens moeten leren denken als een crimineel en dat valt ook mij niet mee. (net zoiets als: om je maximaal te kunnen beschermen op internet zul je moeten leren denken als een kwaadaardige hacker)
06-01-2019, 11:35 door
karma4
Door Anoniem:
Maar dat bedoelde ik uiteraard niet.
Trouwens een (vals) paspoortnummer is al oldoende om gebruik te maken van een hotel.
Dat is nodig om te bewijzen dat jij daar geweest bent onder andere ivm touristenbelasting.
Maar stel een ID-vervalser maakt er een zootje van of pleegt een misdaad? Wie komen ze dan op het spoor? (niet de dader, want die blijkt in dat hotel nooit te zijn geweest volgens de ingezamelde paspoortnummers van het hotel)
Maar doorsnee mensen weten niet eens te bedenken hoe en waar alleen een paspoortnummer voor misbruikt zou kunnen worden. Om daarachter te komen zal men eerst eens moeten leren denken als een crimineel en dat valt ook mij niet mee. (net zoiets als: om je maximaal te kunnen beschermen op internet zul je moeten leren denken als een kwaadaardige hacker)
Ah dank je. Trouwens fraaie voorbeelden van waar het fout gaat om de administratie kloppend te krijgen.Maar dat bedoelde ik uiteraard niet.
Trouwens een (vals) paspoortnummer is al oldoende om gebruik te maken van een hotel.
Dat is nodig om te bewijzen dat jij daar geweest bent onder andere ivm touristenbelasting.
Maar stel een ID-vervalser maakt er een zootje van of pleegt een misdaad? Wie komen ze dan op het spoor? (niet de dader, want die blijkt in dat hotel nooit te zijn geweest volgens de ingezamelde paspoortnummers van het hotel)
Maar doorsnee mensen weten niet eens te bedenken hoe en waar alleen een paspoortnummer voor misbruikt zou kunnen worden. Om daarachter te komen zal men eerst eens moeten leren denken als een crimineel en dat valt ook mij niet mee. (net zoiets als: om je maximaal te kunnen beschermen op internet zul je moeten leren denken als een kwaadaardige hacker)
Met een vervalst ID (kan je bestellen in polen of china) kan je zo de administratie voor het hotel op orde krijgen.
Het bewijst echt weinig of die persoon er al of niet geweest is. Er was en is immers geen controle op. Dat de handhavers er wel vanuit gaan en zo onterechte schade berokkene, tja...… De computer zegt het syndrome. Foute administraties worden niet goed omdat ze met een computer uitgevoerd worden.
Dat denken als een crimineel, dat blijft lastig. Je kunt het beter in kleine stapjes doen. Wat zegt een stuk informatie met de wijze hoe het vastgelegd en bewaard is. Zitten daar aannames in, dan heb je meteen de zwakke plekken.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
