MGM Resorts lækker private data på 10,6 millioner kunder, inklusive berømtheder

MGM Resorts Data Breach

Catalin Cimpanu, en reporter på ZDNet, blev tipset om en massiv datadump, der for nylig blev lagt ud på et hackingforum. Han kiggede og indså, at de kompromitterede oplysninger tilhørte folk, der havde boet på MGM Resorts-hoteller. Ved hjælp af en forsker fra Under the Breach bekræftede Cimpanu legitimiteten af lækagen og kom i kontakt med hotelkæden. En talsmand for MGM sagde via e-mail, at oplysningerne faktisk hørte til hotellets gæster, men de var hurtige til at påpege, at folks kreditkortoplysninger ikke var involveret.

Nogle af jer tror måske, at dette gør overtrædelsen meget mindre farlig, men som vi finder ud af om et minut, er dette ikke rigtig tilfældet. Før vi kommer til de potentielle konsekvenser, lad os dog se, hvad der lækkede, og hvem der havde adgang til det.

Hackere stjal personlige oplysninger fra mere end 10,6 millioner hotelgæster i 2019

Overtrædelsen skete tilsyneladende sidste sommer, og selvom den ikke officielt annoncerede det, kontaktede MGM mindst nogle af de berørte personer for at fortælle dem om hændelsen. Som Cimpanu bemærkede, diskuterede folk diskussioner om overtrædelse på det tidspunkt, men lækagen lykkedes ikke at få nogen interesse fra medierne, som i betragtning af hvad der er i dumpet, er noget mærkelig.

Under angrebet lykkedes det hackerne at gøre noget ved de personlige oplysninger om 10.683.188 hotelgæster. De lækkede oplysninger omfattede navne, hjem- og e-mail-adresser, telefonnumre og fødselsdato. Cimpanu og Under the Breach's forsker forsøgte at kontakte nogle få mennesker i databasen, og selvom nogle af telefonnumrene ikke længere var gyldige, svarede gæsterne og sagde, at de havde opholdt sig på MGM-hoteller før 2018.

Berømtheder, journalister og embedsmænd blev også berørt

MGM Resorts er en massiv kæde af luksushoteller, og i lyset af dette burde det sandsynligvis ikke være for overraskende, at som den lækkede database viser, har nogle kendte navne brugt dens placeringer.

Under Breach's forsker fortalte ZDNet, at databasen indeholder oplysninger om DHS- og TSA-embedsmænd, og Cimpanu selv så navnene på en hel del velkendte journalister, der har opholdt sig på MGM-steder under konferencer og højprofilerede begivenheder. Overtrædelsen ramte også popstjernen Justin Bieber og Twitter's administrerende direktør, Jack Dorsey, selvom det stadig er ukendt, om de ligesom andre gæster blev informeret privat om angrebet.

Den potentielle skade er betydelig

Uundgåeligt trækkes der paralleller mellem MGM's overtrædelse og 2017's angreb på Marriot-hoteller. Til omkring 500 millioner er antallet af berørte gæster ved lækage fra Marriot langt større, men det betyder ikke, at Dorsey, Bieber og resten af de mennesker, hvis information er i MGM-dumpen, skal slappe af. De kompromitterede data har allerede været i kriminelle hænder i mindst seks måneder, og nu er de tilgængelige for alle, der vil downloade dem. Fraværet af kreditkortoplysninger er heller ingen grund til at undervurdere overtrædelsen.

For at understrege de potentielle konsekvenser af lækagen delte Catalin Cimpanu sine tanker om, hvordan de stjålne oplysninger kunne have hjulpet hackere med at kompromittere Jack Dorseys Twitter-konto. Som nogle af jer måske kan huske, kaprede skurker i august sidste år Dorseys mikrobloggingskonto efter at have monteret et SIM-bytteangreb mod ham, og Cimpanu spekulerer i, at de muligvis har hentet hans telefonnummer fra MGMs database. Naturligvis er dette med reporterens egne ord en "skør teori", der ikke kan bekræftes eller afvises, men kendsgerningen er, intet ved det kan klassificeres som "umuligt."

Ud over at bytte SIM skal mennesker, der er berørt af MGM's overtrædelse, også være på udkig efter målrettede spydfiskeangreb, og i betragtning af tilstedeværelsen af hjemmeadresser i databasen kan de måske også tænke på deres fysiske sikkerhed. Når alt kommer til alt er informationen nu offentlig, og ingen ved, hvem der kan blive fristet af knappen Download.

February 20, 2020

Efterlad et Svar