Leren van één van de grootste database inbraken ooit

3 min. leestijd

Share

Over de database hack bij Marriott, waarbij gegevens van 500 miljoen klanten werden bemachtigd

De Amerikaanse hotelketen Marriott ontdekte vrijdag dat cybercriminelen toegang hadden tot een database van reserveringen bij dochterbedrijf Starwood. De gegevens van ruim 500 miljoen klanten zijn hierdoor op straat komen te liggen, waaronder creditcard informatie. Wij vroegen cyber security expert Remco Hobo naar tips omtrent netwerkbeveiliging om dit soort data breaches te voorkomen.

Eén van de grootste datalekken ooit

De hack kwam snel naar voren als een van de grootste datalekken ooit. Ter vergelijking, de grootschalige Equifax-hack van vorig jaar trof 145 miljoen mensen. In 2013 werden door een hack de gegevens van ruim 3 miljard Yahoo gebruikersaccounts buitgemaakt. De hotelmerken die getroffen zijn werden eerst door Starwood geëxploiteerd, voordat Starwoods in 2016 werd overgenomen door Marriott.

Analisten werden gealarmeerd door de lange periode dat de inbraak op de database heeft voortgeduurd, tot deze ontdekt werd. Normaal gesproken duren deze database hacks een aantal maanden, gemiddeld 90 tot 200 dagen. In het geval van deze hack bleken criminelen al sinds 2014 toegang tot de database te hebben. Onder andere paspoortnummers en geboortedata werden vier jaar lang blootgelegd, aldus Marriott.

Leren van de communicatie door Marriott na detecteren van het datalek

De inbraak op de database van Marriott is wederom een voorbeeld dat aantoont dat elk bedrijf (en klanten) slachtoffer kan worden, of zonder het te weten al slachtoffer is, van cybercriminaliteit. Dit duidt op het belang van goede structurele monitoring, netwerk gedragsanalyse en signalering van verdachte activiteiten op het netwerk.

Hacks als deze vinden veelal plaats om zoveel mogelijke persoonlijke gegevens in te winnen om deze vervolgens door te verkopen, om identiteitsfraude te plegen, voor chantage of andere doeleinden.

Opvallend is in dit geval hoe snel Marriott de hack bekend gemaakt heeft en welke communicatie-acties zij direct uitgevoerd hebben om bezorgde klanten te helpen. Tussen het moment van detecteren dat persoonlijke data ontvreemd is en het publiek bekend maken van het datalek zitten elf dagen.

"Het is van essentieel belang om regelmatig IT-Security audits uit te laten voeren, om dit soort zwakheden binnen het netwerk te ontdekken en op te lossen."- Remco Hobo, Cyber Security Expert, Infradata

Tips voor netwerkbeveiliging en detectie van database inbraak

Marriott heeft direct een speciaal callcenter opgericht om vragen over het cyber-incident te beantwoorden. Het callcenter is zeven dagen per week geopend en is beschikbaar in meerdere talen. Marriott begon op 30 november 2018 ook met e-mails verzenden naar alle gasten die getroffen zijn door de hack, van wie de e-mailadressen in de Starwood-reserverings database staan. Daarnaast heeft Marriott een aparte website (https://answers.kroll.com/) gelanceerd met daarop veelgestelde vragen en antwoorden.

Het lijkt vanzelfsprekend, maar veel bedrijven hebben voor dit soort incidenten geen ‘cyber incident stappenplan’ liggen om te doorlopen. Een plan waarin te nemen stappen zijn opgenomen omtrent interne en externe communicatie, woordvoering en uit te voeren acties op het gebied van onderzoek naar het cyber incident om de exacte gegevens die ontvreemd zijn te achterhalen, of om de daders op te sporen.

"Het is van essentieel belang om regelmatig IT-Security audits uit te laten voeren, om dit soort zwakheden binnen het netwerk te ontdekken en op te lossen", zegt Remco Hobo, Cyber Security Expert bij Infradata. "Denk ook aan het uitvoeren van PENtests (Penetration Tests), waarbij de netwerkbeveiliging en endpoints op de proef gesteld worden met bekende en onbekende inbraakmethoden, om kwetsbaarheden aan te tonen. Daarnaast kan het raadzaam zijn om een SOC (Security Operation Center) op te zetten, om dit soort inbraakmethoden te detecteren. Onder andere het structureel monitoren van gebeurtenissen die firewalls opvangen, waarbij specifieke perimeters gecorreleerd worden aan toegang tot de database, helpt om snel en effectief ongeautoriseerde toegang tot de database te detecteren."

Meld je aan voor onze nieuwsbrief

Ontvang het laatste security nieuws, inzichten en markttrends in jouw inbox.

Artikelen

Meer updates