MGM Resorts lekken privégegevens van 10,6 miljoen klanten, inclusief beroemdheden
Catalin Cimpanu, een verslaggever bij ZDNet, werd getipt over een enorme gegevensdump die onlangs op een hackforum werd geplaatst. Hij nam een kijkje en besefte dat de gecompromitteerde informatie toebehoorde aan mensen die in MGM Resorts-hotels hadden verbleven. Met de hulp van een onderzoeker van Under the Breach bevestigde Cimpanu de legitimiteit van het lek en nam contact op met de hotelketen. Een woordvoerder van MGM zei via e-mail dat de informatie inderdaad van hotelgasten was, maar ze wezen er snel op dat de creditcardgegevens van mensen er niet bij betrokken waren.
Sommigen van jullie denken misschien dat dit de inbreuk een stuk minder gevaarlijk maakt, maar zoals we zo dadelijk zullen ontdekken, is dit niet echt het geval. Laten we echter eerst kijken wat er was gelekt en wie er toegang toe hadden voordat we de mogelijke consequenties bespreken.
Table of Contents
Hackers hebben in 2019 de persoonlijke informatie van meer dan 10,6 miljoen hotelgasten gestolen
De inbreuk vond blijkbaar afgelopen zomer plaats, en hoewel het niet officieel werd aangekondigd, nam MGM wel contact op met ten minste enkele van de getroffen personen om hen op de hoogte te stellen van het incident. Zoals Cimpanu opmerkte, bespraken mensen destijds de meldingen van inbreuken, maar het lek kreeg geen belangstelling van de media, wat, wat gezien de stortplaats, enigszins vreemd is.
Tijdens de aanval wisten de hackers de persoonlijke gegevens van 10.683.188 hotelgasten te gebruiken. De gelekte informatie omvatte namen, thuis- en e-mailadressen, telefoonnummers en geboortedata. De onderzoeker van Cimpanu en Under the Breach probeerde contact op te nemen met een paar mensen in de database, en hoewel sommige telefoonnummers niet langer geldig waren, antwoordden de gasten en zeiden dat ze vóór 2018 in MGM-hotels verbleven.
Beroemdheden, verslaggevers en overheidsfunctionarissen werden ook getroffen
MGM Resorts is een enorme keten van luxe hotels, en in dit licht is het waarschijnlijk niet zo verwonderlijk dat, zoals de gelekte database laat zien, enkele bekende namen de locaties hebben gebruikt.
Volgens de onderzoeker van de Breach vertelde ZDNet dat de database de details van DHS- en TSA-functionarissen bevat, en Cimpanu zelf zag de namen van een flink aantal bekende verslaggevers die tijdens conferenties en spraakmakende evenementen op MGM-locaties zijn gebleven. De inbreuk trof ook popster Justin Bieber en Twitter-directeur Jack Dorsey, hoewel het onbekend blijft of zij, net als andere gasten, privé op de hoogte waren van de aanval.
De potentiële schade is aanzienlijk
Het is onvermijdelijk dat er parallellen worden getrokken tussen de inbreuk van MGM en de aanval van 2017 op Marriot-hotels. Met ongeveer 500 miljoen is het aantal getroffen gasten door het lek van Marriot veel groter, maar dit betekent niet dat Dorsey, Bieber en de rest van de mensen wiens informatie zich in de MGM-dump bevindt, moeten ontspannen. De gecompromitteerde gegevens zijn al minstens zes maanden in handen van criminelen en nu beschikbaar voor iedereen die deze wil downloaden. Het ontbreken van creditcardgegevens is ook geen reden om de inbreuk te onderschatten.
Om de mogelijke gevolgen van het lek te benadrukken, deelde Catalin Cimpanu zijn gedachten over hoe de gestolen informatie hackers had kunnen helpen om het Twitter-account van Jack Dorsey te compromitteren. Zoals sommigen van u zich misschien herinneren, hebben boeven in augustus vorig jaar het microblogaccount van Dorsey gekaapt nadat ze een SIM-swapping-aanval op hem hadden opgezet, en Cimpanu speculeert dat ze mogelijk zijn telefoonnummer hebben opgehaald uit de database van MGM. Natuurlijk is dit, in de eigen woorden van de verslaggever, een 'gekke theorie' die niet kan worden bevestigd of ontkend, maar het feit is dat niets hierover kan worden geclassificeerd als 'onmogelijk'.
Naast sim-swapping moeten mensen die getroffen zijn door de inbreuk van MGM ook op zoek zijn naar gerichte spear phishing-aanvallen en, gezien de aanwezigheid van thuisadressen in de database, willen ze misschien ook nadenken over hun fysieke beveiliging. De informatie is nu immers openbaar en niemand weet wie er in de verleiding kan komen door de knop Downloaden.
