포스팅 내용

국내외 보안동향

메리어트의 Starwood 호텔 대규모 해킹 발생; 고객 기록 5억 건 4년동안 노출 돼

Marriott's Starwood hotels mega-hack: Half a BILLION guests' deets exposed over 4 years


미국의 호텔 체인인 메리어트가 자회사인 Starwood 게스트 예약 네트워크에 데이터베이스 전체가 노출 되어 있었다고 밝혔습니다. 여기에는 4년동안 이루어진 게스트 예약 5억 건 전체가 포함 되어 있어, 개별 조직에서 발생한 해킹 중 가장 규모가 큰 사건으로 남게 되었습니다.


“2018년 9월 8일, 메리어트는 내부 보안 툴에서 미국에 있는 Starwood 게스트 예약 데이터베이스에 접근하려는 시도가 있다는 경고 알림을 받았습니다.”


“조사를 통해, 메리어트는 2014년부터 Starwood 네트워크에 승인 되지 않은 접근이 있었다는 것을 발견했습니다.”


약 3.27억 건의 게스트 예약 정보에는 고객의 이름, 우편 주소, 전화 번호, 이메일 주소, 여권 번호, SPG 계정 정보, 생년월일, 성별, 출입국 정보, 예약 일정, 수신 동의 정보가 포함 되어 있었습니다.


여기에는 정확한 수를 알 수 없는 암호화 된 카드 번호 및 유효 기간도 포함 되어있었지만, 메리어트는 AES-128 수준의 암호화가 걸려있었다고 밝혔습니다.


“지불 카드 정보를 복호화 하기 위해서는 컴포넌트 두 개가 필요합니다. 이 시점에서, 메리어트는 이 두가지 모두 도난 당했을 가능성을 배제할 수 없었습니다.”


관련하여 더욱 자세한 정보는 공개 되지 않았지만, 이 두 가지는 솔팅 및 해싱인 것으로 추측됩니다.


메리어트는 지난 11월 19일 이 유출 사고를 밝혀냈으며, 조사관들은 온라인에서 암호화 된 데이터베이스를 발견할 수 있었습니다. 암호화를 해제하자, Starwood 게스트 예약 데이터베이스 전체의 복사본을 찾을 수 있었습니다.


영향을 받은 호텔 브랜드는 아래와 같습니다.


W 호텔 (W Hotels)

세인트 레지스 (St. Regis)

쉐라톤 호텔 & 리조트 (Sheraton Hotels & Resorts)

웨스틴 호텔 & 리조트 (Westin Hotels & Resorts)

엘리멘트 호텔 (Element Hotels)

알로프트 호텔 (Aloft Hotels)

럭셔리 콜렉션 (The Luxury Collection)

트리뷰트 포트폴리오 (Tribute Portfolio)

르 메르디앙 호텔 & 리조트 (Le Méridien Hotels & Resorts)

포 포인츠 바이 쉐라톤 (Four Points by Sheraton)

Starwood Preferred Guest (SPG) 프로그램에 참여한 디자인 호텔

Starwood 브랜드 타임쉐어 호텔


메리어트의 CEO인 Arne Sorenson은 이 사고가 일어난 것을 “매우 유감스럽게” 생각하며, 회사는 “전용 웹사이트 및 콜 센터”를 만들었다고 밝혔습니다.


이 사건은 미국의 법 집행부에도 신고 되었습니다. 또한 메리어트는 고객들에게 이메일을 통해 이 사건에 대해 알리고 있습니다.


메리어트가 만든 전용 웹사이트는 http://info.starwoodhotels.com이며, 영향을 받는 고객들은 Webwatcher 개인 정보 유출 모니터링 시스템에 등록하기를 권유합니다. 또한 메리어트는 이메일을 starwoodhotels@email-marriott.com 이메일 주소를 사용해 발송할 예정이며 “어떠한 첨부 파일이나 정보 요구도 없을 것이며, 포함 된 링크는 이 웹사이트로 이동 되는 것 뿐”이라 밝혔습니다.


영향을 받았거나 가능성이 있는 사용자들은 즉시 강력한 패스워드로 변경할 것을 권장합니다.



출처 :

https://www.theregister.co.uk/2018/11/30/marriott_starwood_hotels_500m_customer_records_hacked/



티스토리 방명록 작성
name password homepage