在参议院国土安全委员会和政府事务常设调查小组委员会面前,索伦森向该公司的客户道歉,但也打消了中国支持该黑客的谣言。
根据一份准备好的证词陈述,Sorenson说,万豪第一次得知可能出现问题的地方是去年9月8日,当时管理喜达屋客户预订数据库的IT公司埃森哲联系了他们。
万豪此前已于2016年9月收购了喜达屋连锁酒店,并正在制定将客户迁移至其客人预订系统的计划,但当时,喜达屋系统仍与万豪其余网络分开。
但是在9月8日,埃森哲告诉万豪的IT员工,他们的一个安全产品,一个名为IBM Guardium的数据库监控系统,在9月7日前一天发现了喜达屋客人预订数据库的异常情况。
“Guardium警报是由管理员帐户的查询触发的,用于返回数据库中表格的行数,”Sorenson说。
此类查询被认为是危险的,因为在数据库之上运行的软件通常不需要进行查询。这意味着人类操作员手工制作这种非常具体的查询。
“作为我们调查警报的一部分,我们了解到使用其凭据的个人实际上并没有进行查询,”Sorenson说。
此时,万豪的工作人员意识到他们正在处理可能的违规行为,尽管他们不知道在攻击者访问任何用户数据之前它是否是一个大的东西,或者只是一个非常容易被遏制的黑客的开始。
该公司表示,它于9月10日引入第三方法医调查员,以帮助其IT人员调查可能的违规行为。这家法医公司在不到一周之后就发现了Starwood IT系统上的恶意软件。
“调查人员发现了一种远程访问特洛伊木马('RAT'),这是一种恶意软件,允许攻击者秘密访问,监视,甚至控制计算机。当天我正在接受调查的通知,我们的董事会是第二天通知,“首席执行官说。
首席执行官表示,揭露全面的攻击行为需要进行大量的法医工作。然而,尽管RAT在Starwood IT系统上存在,但在那时,没有证据表明未授权方访问了喜达屋客户预订数据库中的客户数据。
但调查没有停止。到了10月份,法医公司还在10月份发现了Mimikatz,这是一种渗透测试工具,安全研究人员和黑客都使用它来搜索设备的内存中的用户名和密码。该工具最有可能用于帮助黑客获取其他喜达屋系统的密码,并帮助他们转移到IT网络的其他部分。
然而,调查人员再次没有发现黑客访问过客户数据的证据。
11月,调查人员发现自2014年7月以来黑客一直活跃在喜达屋的IT网络上,早在万豪收购之前,黑客就从“可能坏”变为“坏”。
这意味着黑客已经运营了两年多而没有被发现,并使整个调查更加困难,因为法医公司现在不得不挖掘多年的日志。
然而,仍然没有黑客访问客户数据的证据。
但不可避免的事情最终发生了,而且发生在11月中旬。Sorenson关于他们如何以及何时意识到黑客窃取喜达屋客户数据的准备声明摘录如下:
11月13日,我们的调查人员发现了两个压缩的加密文件已从他们正在检查的设备中删除的证据。文件已加密,实际内容未知。还有证据表明这两个文件可能已从喜达屋网络中删除。六天后,即2018年11月19日,调查人员能够解密文件,发现其中一个包含从喜达屋宾客预订数据库中导出包含访客数据的表格,而另一个包含导出护照信息的表格的导出。
此时,书写在墙上,它是用霓虹闪烁的灯写的。黑客已经破坏了喜达屋的IT网络,并从其客人预订数据库窃取了客户详细信息。
接下来的内容现在已经有了很好的记录。该连锁酒店通知当局并于11月30日公开披露其数据泄密事件,揭露了一项影响约5亿客户的违规行为,违反了该公司后来在2019年1月和3月再次更新的统计数据。
根据Sorenson准备的声明和喜达屋违规通知网站的最新消息,这些是围绕万豪违规的最新统计数据:
3.83亿客串记录
1850万加密护照号码
525万个未加密的护照号码(来自美国的663,000个)
910万加密支付卡号
在违约时仍然有效的385,000张卡号
万豪首席执行官再次表示,调查工作尚未发现证据表明黑客获得了用于加密支付卡号码的加密密钥,这意味着大多数受损的支付卡号码对攻击者来说仍然无用。
此外,受影响的酒店客人总数达到3.83亿,甚至可能更小。
“在许多情况下,同一客户似乎有多个记录,但由于数据的性质,进一步的重复数据删除不能轻易执行,”Sorenson说。“我们无法自信地确定具有相似名称的记录,甚至具有不同地址的相同名称,是代表一个人还是多个人,但我们已经相当确定地得出了涉及少于3.83亿独立客人的信息。”
索伦森表示,披露违规行为也是一项巨大努力,涉及通知联邦调查局,所有美国州检察长,美国联邦贸易委员会,美国证券交易委员会,20个不同国家的监管机构,四家主要支付卡网络及其信用卡处理供应商,以及三家美国公司。信用报告机构。
代表支付卡网络工作的调查小组仍在调查黑客行为,与万豪的团队和美国当局分开。
在回答参议院小组委员会提出的问题时,索伦森还谈到了美国国务卿迈克庞培去年在接受“狐狸与朋友”采访时发表的声明,其中白宫官员将黑客归咎于中国黑客。
“简短的回答是我们不知道,”当被问及Pompeo的言论时,Sorenson说道。“即使从我们获得的信息中得出推论,我也感到不足。”
这里有Sorenson证词的录音。
在同一次听证会上,Equifax的新任首席执行官Mark Begor也接受了有关其公司2017年黑客行为的采访。他没有透露任何新的信息,因为Equifax官员已经在参议院委员会面前工作了一年多,而且有关2017年黑客行为的详细信息已经为人所知。
我们以前发布的有关Equifax公司的文章破解验尸这里,如果用户有兴趣了解公司是如何受到影响。