Bereits Anfang Dezember 2018 haben wir Euch über das massive Datenleck bei Marriott informiert, das bis zu 500 Millionen Gäste betreffen sollte. Nun geht Marriott in einem Update näher auf die genaue Zahl und die Natur der gestohlenen Daten ein.
Es ist einer der größten Datendiebstähle in der Reisebranche, den Marriott Ende des letzten Jahres bekannt machte. Ab 2014 bis September 2018 sollen unberechtigte Dritte hunderte Millionen von Daten aus dem Reservierungssystem von Starwood gestohlen haben. Die Hotelkette Starwood wurde von Marriott erst 2017 gekauft und in den Konzern integriert. Bei den gestohlenen Daten handele es sich um die Daten von bis zu 500 Millionen Gästen, so ließ Marriott damals verlauten. Nun konkretisiert der Hotelkonzern seine Angaben.
Marriott gibt Update zu Datenleck – Zahl der Betroffenen etwas geringer
Die Zahl der betroffenen Gäste korrigiert Marriott in seinem aktuellen Update nach unten. Es seien statt 500 Millionen “nur” 383 Millionen Gäste vom Datenleck betroffen. Man könne jedoch nicht feststellen, ob es sich wirklich um 383 Millionen eindeutige Gäste handle. Man gehe viel mehr davon aus, dass in dieser Zahl einige wiederkehrende Gäste doppelt gezählt werden. Mit den 383 Millionen Datensätzen habe man aber ein oberes Limit setzen können.
“Marriott now believes that the number of potentially involved guests is lower than the 500 million the company had originally estimated. Marriott has identified approximately 383 million records as the upper limit for the total number of guest records that were involved in the incident. This does not, however, mean that information about 383 million unique guests was involved, as in many instances, there appear to be multiple records for the same guest. The company has concluded with a fair degree of certainty that information for fewer than 383 million unique guests was involved, although the company is not able to quantify that lower number because of the nature of the data in the database.”
Marriott gibt Update zu Datenleck – Passdaten wohl verschlüsselt
Aus den Datensätzen seien zudem etwa 5,25 Millionen unverschlüsselte Passdaten gestohlen worden. Die Zahl der verschlüsselten Passdaten, die gestohlen wurden, liegt hingegen deutlich höher. Bis zu 20,3 Millionen Passdaten sollen die Dritten abgegriffen haben. Ob diese von den Hackern entschlüsselt werden können, ist hingegen nicht klar. Marriott selbst geht jedenfalls nicht davon aus.
“Marriott now believes that approximately 5.25 million unencrypted passport numbers were included in the information accessed by an unauthorized third party. The information accessed also includes approximately 20.3 million encrypted passport numbers. There is no evidence that the unauthorized third party accessed the master encryption key needed to decrypt the encrypted passport numbers.”
Marriott gibt Update zu Datenleck – Zahlungsdaten größtenteils verschlüsselt
Auch auf die Zahl der gestohlenen empfindlichen Zahlungsdaten geht Marriott in dem Update ein. Man gehe derzeit davon aus, dass bis zu 8,6 Millionen Zahlungsdaten samt Kreditkartendaten gestohlen wurden. Davon waren 354.000 Zahlungsmittel zu September 2018 noch nicht abgelaufen. Die Daten seien jedoch fast alle verschlüsselt gewesen. Es gebe weniger als 2.000 Datensätze, in denen sich 15-stellige oder 16-stellige Nummern finden, bei denen es sich um Kreditkartennummern handeln könnte. Ob es sich dabei wirklich um Kreditkartennummern handelt, werde derzeit geprüft.
“Marriott now believes that approximately 8.6 million encrypted payment cards were involved in the incident. Of that number, approximately 354,000 payment cards were unexpired as of September 2018. There is no evidence that the unauthorized third party accessed either of the components needed to decrypt the encrypted payment card numbers.
While the payment card field in the data involved was encrypted, Marriott is undertaking additional analysis to see if payment card data was inadvertently entered into other fields and was therefore not encrypted. Marriott believes that there may be a small number (fewer than 2,000) of 15-digit and 16-digit numbers in other fields in the data involved that might be unencrypted payment card numbers. The company is continuing to analyze these numbers to better understand if they are payment card numbers and, if they are payment card numbers, the process it will put in place to assist guests.”
Marriott gibt Update zu Datenleck – Fazit
Nach einiger Zeit gibt es nun dieses langerwartete Update von Marriott. Trotzdem befindet sich der Konzern noch im Aufklärungsprozess. Neben einigen Korrekturen der Zahlen und einer Aufschlüsselung der gestohlenen Datensätze beinhaltet das Update nicht viele Informationen. Insbesondere im Hinblick auf die Zahlungsdaten dauern die Untersuchungen weiter an. Noch immer gibt es keine Information darüber, ob die Daten missbräuchlich genutzt wurden. Bei Marriott geht man lediglich nicht davon aus. Wir werden also weiter abwarten müssen, bis sich die Datenpanne weiter aufklärt.
Nähere Informationen für Betroffene werden auch über die Starwood-Website bekannt gegeben.