دیگر هتل‌ها هم قابل اعتماد نیستند؛ اطلاعات 500 میلیون کاربر یک گروه بزرگ گردشگری در دست هکرها

توضیحات: وحید علی‌محمدی; دسته: اخبار امنیت; 12 آذر 1397 14:00

اخبار لو رفتن اطلاعات کاربران سرویس‌های بزرگ ایمیل و خرید اینترنتی را تا به امروز به کرات شنیده‌ایم ولی جدیدترین خبر در این حوزه مربوط به شرکت بزرگ ماریوت است؛ شرکت بزرگ و چند ملیتی که در زمینه هتلداری و صنعت گردشگری فعالیت می‌کند و حالا خبرهایی منتشر شده که نشان می‌دهد هکرها به اطلاعات 500 میلیون نفر از کاربران آن دسترسی داشته‌اند و این شرکت پس از 4 سال متوجه این فاجعه شده است.

این روزها داستان لو رفتن اطلاعات کاربران در شبکه‌هایی که به هر نحوی در آن‌ها عضو هستند هر روز و بسیار بیشتر از سالیان قبل منتشر می‌شود و با توجه به اینکه تصور بر آن است که امنیت سایبری در حال پیشرفت است این نکته برای بسیاری از کاربران جای تعجب دارد که چطور با این همه بست و بندی که توسط پروتکل‌های امنیتی روی مراکز داده شرکت‌ها قرار می‌گیرد باز هم شرایطی پیش می‌آید که هر از گاهی خبرهایی از لو رفتن اطلاعات شخصی و مالی میلیون‌ها کاربر در سراسر وب منتشر می‌شوند. در واقع پاسخ به این سوال ساده است. همزمان با متخصصان امنیتی، هکرها هم پیشرفت می‌کنند و چه بسا ابزارهایی که تولید می‌شود در حوزه هک سریعتر از روش‌های ضد هک در حال پیشرفت هستند.

دو روز پیش خبری توسط نیویورک تایمز منتشر شد که نشان می‌دهد پایگاه داده‌های شرکت استاروودز که متعلق به گروه ماریوت است هک شده و اطلاعات 500 میلیون مشتری این سرویس در اختیار هکرها قرار دارد. جدای از بحث‌های فنی نکته بسیار مهم این است که اولین دسترسی غیرمجاز به این اطلاعات در سال 2014 اتفاق افتاده و این شرکت پس از گذشت 4 سال متوجه داستان شده است. این بدان معناست که طی این مدت هکرها به صورت آزاد به اطلاعات کاربران دسترسی داشته‌اند و متخصصین ماریوت و Star Woods متوجه نشت اطلاعات یا همان Data Breach نشده‌اند.

اگرچه شرکت ماریوت هنوز به صورت دقیق عمق دسترسی هکرها به اطلاعات کاربران را مشخص نکرده است ولی در گزارش منتشر شده اعلام شده اینگونه اعلام شده که اطلاعات لو رفته در دو گروه قرار گرفته و مربوط به چندین هتل از جمله W Hotels، St. Regis و گروه هتل‌های شرایتون می‌باشند. گروه اول مربوط به نزدیک به 327 میلیون حساب کاربری است که بالاترین سطح از اطلاعات را که شامل نام و نام خانوادگی، آدرس پستی، تلفن، ایمیل، شماره گذرنامه، اطلاعات حساب کاربری، تاریخ تولد، جنسیت، زمان‌های ورود و خروج، رزرو و برخی موارد دیگر است. گروه دوم که اطلاعات مربوط به نزدیک به 170 میلیون حساب است دارای بازه اطلاعاتی کمتر و تنها شامل مشخصات فردی و برخی داده‌ها ارتباطی است.

نکته دیگر در مورد این داستان احتمال لو رفتن اطلاعات مالی کاربران است؛ اگرچه ماریوت برای تراکنش‌های مالی خود از روش تأیید دو مرحله‌ای استفاده می‌کند ولی این احتمال توسط شرکت مطرح شده که شاید هکرها با دور زدن این روش به حساب‌های اعتباری مالی آنها نیز دسترسی پیدا کرده باشند و فعلاً نمی‌توان در مورد آن نظر دقیقی داد.

با انتشار این خبر موجی از اعتراضات واحدهای حقوقی نیز به این داستان برخواسته است که این سوال را از ماریوت می‌پرسند که دلیل جمع‌آوری این حجم از اطلاعات از کاربران چیست؟ چرا برای یک رزرو هتل هر اطلاعات جزئی و کوچکی از کاربران پرسیده شود و دلیل اصلی این کار چیست؟

در پاسخ به این سوال بسیاری معتقدند نه تنها ماریوت، بلکه بسیاری از شرکت‌های دیگر با یک هدف این کار را می‌کنند و آن هم این است که بعدها بتوانند با فروش این اطلاعات به دیگر شرکت‌ها درآمد کسب کنند و یا اینکه از این اطلاعات دقیق برای تبلیغات هوشمند خودشان استفاده کنند.

البته این مورد بیشتر برای خود شرکت مشکل‌زا می‌شود چرا که به محض لو رفتن اطلاعات از این دست، علاوه بر تحمیل ضررهای مالی در بورس و کاهش ارزش سهام، روبرو شدن با شکایت‌های فردی و حقوقی رده‌های مختلف، شرکت مبدأ باید پاسخگوی نهادهای امنیتی در کشورهای مطبوع هم باشد و دلیل کسب اطلاعات از کاربران را مشخص کند. در همین زمینه و در سال 2014 شرکت یاهو پس از لو رفتن اطلاعات 500 میلیون نفر از کاربرانش علاوه بر مشکلاتی که گریبان‌گیرش شده بودند نیز از سوی نهادهای قضایی ایالات متحده به پرداخت جریمه 35 میلیون دلاری به جهت عدم نگهداری صحیح و دریافت اطلاعات بیش از حد مجاز از کاربران خود گردید.

به هر حال ماریوت نیز با چنین مشکل بزرگی روبرو شده است و داستان این مشکل امنیتی تازه در اول راه است. البته این شرکت تلاش کرده با روش‌های کمی از عصبانیت و نگرانی کاربران خود بکاهد و در یکی از این اقدام‌ها اشتراک یک‌ساله‌ی WebWatcher را به آنها هدیه داده است تا بتوانند از خدمات این سرویس در خصوص هشدار درباره حمله‌های هکری و رخنه‌های امنیتی مطلع شوند البته طبیعیست که چنین اشتراکی چندان به کار کاربران نخواهد آمد و به هیچ روشی نمی‌شود وجه از دست رفته امنیتی این گروه را بدست آورد.