Le groupe Marriott piraté, 300 millions de clients impactés

Posted On 30 Nov 2018

Tag: Darkhotel, hotel, infiltration, piratage

Plus de 300 millions de clients du groupe hôtelier Marriott impactés par le piratage informatique de la multinationale. Et vous êtes encore étonnés ?!

Depuis bientôt 25 ans que ZATAZ existe (20 ans sous la forme de zataz.com) je vous relate, alerte, explique les milliers de fuites de données que je peux croiser par mois. ZATAZ a pu aider plus de 70 000 entreprises Francophones, bénévolement, à éviter le pire. Il y a encore quelques temps, on n’hésitait pas à me dire que mes cas étaient rares, exagérés. Des DSI et autres « personnalités » en cravates courtes n’hésitant pas à black lister ZATAZ auprès de leurs services : communication, … Dernier exemple en date, l’assureur Malakoff Mederick. Bref, une lutte des classes pour un sujet qui devrait pourtant nous unir : la cybersécurité de toutes et de tous.

Pourquoi ce coup de gueule ?

Le groupe Marriott vient d’annoncer le piratage de plus de 300 millions de clients. La fuite vient de Starwood, une filiale de Marriott acquises 13,6 milliards de dollars. Entreprise rachetée en 2016. « La tentative d’accès » détectée le 8 septembre 2018. Une attaque qui ne date pas de cette année. Il visait le fichier de réservations aux USA. Le pirate a exploité une méthode intéressante. D’abord la collecte. Ensuite, chiffrer le fichier à copier et lancer l’extraction. 327 millions de clients impactés. Les données : identité, adresse postale, adresse électronique, numéro de téléphone, numéro de passeport, date de naissance, sexe. Des données de Français concernées. Des informations bancaires sont annoncées dans la base de données « hacked ».

Les informations bancaires : numéros de carte de paiement et dates d’expiration. Elles sont chiffrées AES-128. Deux composants sont nécessaires pour déchiffrer les numéros de carte de paiement. A ce stade, Marriott n’a pas été en mesure d’exclure la possibilité que les deux aient été pris.

L’action en bourse a chuté de 7% au moment de l’annonce. Les marques Starwood sont les suivantes : W Hotels, St. Regis, Sheraton Hotels & Resorts, Westin Hotels & Resorts, Element Hotels, Aloft Hotels, The Luxury Collection, Tribute Portfolio, Le Méridien Hotels & Resorts, Four Points by Sheraton and Design Hotels.

Pour rappel, Marriott c »est 5.700 établissements dans plus de 110 pays (30 marques différentes).

Security Officer absent ?

Le groupe Marriott a été alerté par un Protocole d’Alerte ZATAZ au mois de juin 2018 après la découverte, dans un black market Chinois, de deux injections SQL visant une de ses sociétés. Et d’un échantillon d’une base de données « VIP ». J’ai reçu une réponse, le service client. Il devait me mettre en relation avec le Security Officer. Ce dernier ne m’a jamais contacté… Un rapport avec cette fuite de 300 millions de clients ? Aucune idée !

C’est la seconde plus importante fuite d’informations pour une entreprise US après Yahoo! (3 milliards) et Adult Friend Finder, un site pour adultes et 421 millions de clients dans la nature.

416GB de bases de données piratées accessibles sur un espace Chinois. @zataz – C'est tous les jours le mois de la #cybersécurité ! #TousSecNum pic.twitter.com/YZAJdA9IL1

— Damien Bancal (@Damien_Bancal) September 14, 2018

Des milliards de données volées par an

Hier, DELL. Aujourd’hui, on parle de Marriott. Mais que dire alors de la marque vestimentaire The North Face dont les données clients continuent de fuiter depuis plusieurs mois. De la boutique web « Jules » qui a eu un problème de cookies, durant quelques heures [capture écran ci-dessous], avec les mails des clients recherchant un produit particulier via son site web. De l’école ESTIA [Protocole. CNIL alertée.] et des données d’élèves. De ces milliers de données appartenant à des propriétaires Français d’armes à feu « oubliées » dans un WordPress associatif …

Mais combien de milliards d’informations « pompées » par des pirates, par semaine, sans que personne ne s’en aperçoive… ou ne pipe mot ! Les trois petits singes, un état d’esprit qu’il faut faire disparaître : je ne vois rien, je ne dis rien, je n’entends rien ! Le service veille de ZATAZ en repère des dizaines par semaine !

Hôtel : les pirates et vos données

Que font les pirates de leur vol ? D’abord, mettre la main sur des informations de personnalités, de politiques, et autres « Smiert chpionam !« . Connaitre leurs déplacements, le numéro de passeport, leur adresse postale. Voilà pour une première piste d’intérêt de collecte.

Ensuite, la revente des informations. Je vous ai montré, il y a peu, quelques boutiques qui revendent les informations volées à des centaines de milliers d’internautes Français. Des boutiques qui existent aussi pour des régions ciblées : Canada, Belgique, Suisse …

Le phishing (hameçonnage) et des escroqueries ciblées aux couleurs de Marriott et des clients de Marriott. La location de chambre d’hôtel par des pirates qu’ils revendront ensuite. Je vous montrais, voilà trois ans, comment des pirates m’avaient loué pour un mois une suite royale dans plusieurs hôtels de luxe, en Afrique du Nord.

Le communiqué de presse du cabinet d’avocats de Marriott.

Marriot n’est qu’une croix sur le tableau de chasse des pirates aprés le groupe Barrière, les hôtels Trump (qui va me permettre de mettre la main dans le Black Market sur les données privées et sensibles du futur président des USA, NDR). En 2014, on parlait du DarkHôtel. Une action malveillante jetant son dévolu sur les groupes hôteliers.

En 2018, était arrêté un commerçant du black market spécialisé dans les données de clients d’hôtels.

ZATAZ propose un service de veille qui permet de mettre sous surveillance des informations de votre choix (mail, téléphone, …). Les données que vous avez laissé sur un site web apparaissent dans le black market (vente, diffusion …) ? ZATAZ vous alertera dans la seconde.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.