MGM Resorts lekker private data for 10,6 millioner kunder, inkludert kjendiser

MGM Resorts Data Breach

Catalin Cimpanu, en reporter ved ZDNet, ble tipset om en massiv datadump som nylig ble lagt ut på et hackeforum. Han så og innså at den kompromitterte informasjonen tilhørte folk som hadde bodd på hotellene i MGM Resorts. Ved hjelp av en forsker fra Under the Breach bekreftet Cimpanu legitimiteten til lekkasjen og kom i kontakt med hotellkjeden. En talsperson for MGM sa via e-post at informasjonen faktisk tilhørte hotellgjester, men de var raske med å påpeke at folks kredittkortinformasjon ikke var involvert.

Noen av dere tror kanskje at dette gjør bruddet mye mindre farlig, men som vi finner ut om et øyeblikk, er dette ikke virkelig tilfelle. Før vi kommer til de potensielle konsekvensene, la oss imidlertid se hva som var lekket og hvem som hadde tilgang til det.

Hackere stjal den personlige informasjonen til mer enn 10,6 millioner hotellgjester i 2019

Bruddet skjedde tilsynelatende i fjor sommer, og selv om det ikke offisielt kunngjorde det, tok MGM kontakt med minst noen av de berørte personene for å gi dem beskjed om hendelsen. Som Cimpanu bemerket diskuterte folk bruddvarslene den gangen, men lekkasjen klarte ikke å få interesse fra media, noe som er noe underlig med tanke på hva som er i dumpingen.

Under angrepet klarte hackerne å stille med personopplysningene til 10 683 188 hotellgjester. Informasjon som ble lekket inn inkluderer navn, adresse og e-postadresser, telefonnummer og fødselsdato. Cimpanu og Under the Breach-forskeren prøvde å kontakte noen få personer i databasen, og selv om noen av telefonnumrene ikke lenger var gyldige, svarte gjestene og sa at de hadde bodd på MGM-hotell før 2018.

Kjendiser, reportere og myndighetspersoner ble også berørt

MGM Resorts er en massiv kjede av luksushoteller, og sett i lys av dette burde det sannsynligvis ikke være så overraskende at noen, som den lekkede databasen viser, har brukt noen av sine navn.

Under Breach fortalte forskeren til ZDNet at databasen inneholder detaljene fra DHS og TSA-tjenestemenn, og Cimpanu selv så navnene til ganske mange kjente journalister som har oppholdt seg på MGM-steder under konferanser og høyprofilerte arrangementer. Bruddet rammet også popstjernen Justin Bieber og Twitters administrerende direktør, Jack Dorsey, selv om det fremdeles er ukjent om de, som andre gjester, ble privat informert om angrepet.

Den potensielle skaden er betydelig

Uunngåelig trekkes paralleller mellom MGMs brudd og 2017s angrep på Marriot-hoteller. Til rundt 500 millioner er antallet berørte gjester av Marriot lekkasje langt større, men dette betyr ikke at Dorsey, Bieber og resten av menneskene som har informasjonen i MGM-dumpen, skal slappe av. De kompromitterte dataene har allerede vært i kriminelle hender i minst seks måneder, og nå er de tilgjengelige for alle som vil laste dem ned. Fraværet av kredittkortdetaljer er heller ingen grunn til å undervurdere bruddet.

For å understreke de potensielle konsekvensene av lekkasjen, delte Catalin Cimpanu sine tanker om hvordan den stjålne informasjonen kunne ha bidratt til at hackere kompromitterte Jack Dorseys Twitter-konto. Som noen av dere kanskje husker, i august i fjor kapret skurkene Dorseys mikrobloggingskonto etter å ha montert et SIM-bytteangrep mot ham, og Cimpanu spekulerer i at de kan ha hentet telefonnummeret hans fra MGMs database. Dette er selvfølgelig, med reporterens egne ord, en "gal teori" som ikke kan bekreftes eller avkreftes, men faktum er at ingenting om det kan klassifiseres som "umulig."

I tillegg til å bytte SIM, må personer som er berørt av MGMs brudd også være på utkikk etter målrettede spydfiskeangrep, og gitt tilstedeværelsen av hjemmeadresser i databasen, vil de kanskje også tenke på deres fysiske sikkerhet. Tross alt er informasjonen nå offentlig, og ingen vet hvem som kan bli fristet av Last ned-knappen.

February 20, 2020

Legg igjen et svar