ホテル管理プラットフォームOtelierは、脅威行為者が同社のAmazon S3クラウドストレージに侵入し、マリオット、ヒルトン、ハイアットなどの有名ホテルブランドの数百万人の宿泊客の個人情報と予約を盗むというデータ侵害に見舞われた。
侵入は2024年7月に最初に発生し、10月までアクセスが続き、脅威行為者はOtelierのAmazon AWS S3バケットから約8テラバイトのデータを盗んだと主張している。
オトリエは声明の中で、今回の侵害を確認し、影響を受けた顧客と連絡を取っていると述べた。
「私たちの最優先事項は、将来の問題を防ぐためにシステムのセキュリティを強化しながら、お客様を保護することです。
「オトリエは、情報が流出した可能性のある顧客と連絡を取り合っています。この事件を受けて、私たちはサイバーセキュリティの第一人者のチームを雇い、包括的なフォレンジック分析を行い、私たちのシステムを検証しました。
“調査の結果、不正アクセスは終了したと判断しました。今後同様の事件が発生しないよう、オトリエは関係するアカウントを無効化し、サイバーセキュリティ・プロトコルの強化に引き続き取り組んでいます。”
Otelierは、以前はMyDigitalOfficeとして知られており、予約、取引、夜間レポート、請求書発行を管理するために、世界中の10,000以上のホテルで使用されているクラウドベースのホテル管理ソリューションです。
同社は、マリオット、ヒルトン、ハイアットなど、多くの有名ホテルブランドで利用されており、盗まれた情報にもそのデータが含まれている。
盗まれた認証情報で侵入
Otelierの情報漏えいの背後にある脅威行為者は、従業員のログインを使用して同社のアトラシアンサーバーを最初にハッキングしたと語った。これらの認証情報は、ここ数年企業ネットワークの悩みの種となっている情報窃取マルウェアによって盗まれた。
Otelierにこの情報を確認するよう依頼したところ、同社の担当者は、この件に関してこれ以上のコメントはできないと答えた。しかし、Flareの脅威インテリジェンス・プラットフォームOtelierで、情報窃取マルウェアによって窃取された従業員情報を発見した。
脅威行為者は、チケットやその他のデータをスクレイピングするためにこれらの認証情報を使用し、さらに同社のS3バケットへの認証情報が含まれていたと述べている。
このアクセスを使って、ハッカーは同社のアマゾンクラウドストレージから7.8TBのデータをダウンロードしたと主張しており、その中にはOtelierが管理するS3バケットにあったマリオット所有の数百万件の文書も含まれていた。これらの文書には、毎晩のホテルレポート、シフト監査、会計データなどが含まれる。
マリオットはOtelierのサイバー攻撃による影響を確認し、Otelierが調査を完了する間、自動化サービスを停止した。同社は、今回の攻撃で同社のシステムが侵害された事実はないと強調している。
「マリオットの広報担当者は、「オトリエが関与したこの事件を認識した時点で、多数のホテル会社と提携しているこのベンダーに直ちに連絡し、サイバーセキュリティの専門家と協力して、同社のシステムに影響を与えたセキュリティインシデントを調査していることを確認しました。
「マリオットはまた、調査が完了するまでOtelierが提供する自動化サービスを停止するなど、適切な予防措置を講じました。
脅威行為者は、S3バケットがマリオットのものだと思い込んで恐喝を試み、データを漏らさないように暗号通貨での支払いを要求する身代金メモを残したという。しかし、何の連絡もなく、9月に認証情報がローテーションされた後にアクセスできなくなったという。
マリオットは、今回の情報漏洩で機密情報が盗まれた形跡はないと話しているが、Have I Been Pwnedのトロイ・ハントと共有された盗まれたデータのサンプルには、ホテルの宿泊客の個人情報が含まれている。
トロイ・ハントが見た小さなサンプルには、宿泊客の予約、取引、従業員の電子メール、その他の内部データなど、幅広いデータが含まれている。
流出した個人情報の一部には、ホテル宿泊客の名前、住所、電話番号、電子メールアドレスが含まれる。
盗まれたデータには、ハイアット、ヒルトン、ウィンダムに関連する情報や電子メールアドレスも含まれている。ハイアットとヒルトンに情報漏洩について問い合わせたが、回答は得られなかった。
トロイ・ハント氏によると、彼が受け取ったデータは膨大なもので、予約テーブルには3,900万行、ユーザーテーブルには2億1,200万行が含まれているという。
ハント氏によれば、これだけの大規模なデータにもかかわらず、130万ものユニークな電子メールアドレスが見つかったという。
暴露された個人情報はHave I Been Pwnedに追加され、誰でも自分のメールアドレスが暴露されたデータに含まれているかどうかをチェックできる。
良いニュースは、パスワードと請求先情報がこの攻撃で盗まれていないようだということだが、脅威行為者はまだ標的型フィッシング攻撃でこれらの情報を使用する可能性がある。
そのため、今回の情報流出の影響を受けたホテルブランドを装った不審なメールに注意する必要がある。
Comments