MGM Resorts läcker privata uppgifter om 10,6 miljoner kunder, inklusive kändisar

MGM Resorts Data Breach

Catalin Cimpanu, en reporter på ZDNet, tippades av om en massiv datadump som nyligen publicerades på ett hackforum. Han tittade och insåg att den komprometterade informationen tillhörde människor som hade stannat kvar på MGM Resorts hotell. Med hjälp av en forskare från Under the Breach bekräftade Cimpanu läckans legitimitet och kom i kontakt med hotellkedjan. En talesman för MGM sa via e-post att informationen verkligen tillhörde hotellgäster, men de var snabba att påpeka att människors kreditkortsuppgifter inte var inblandade.

Vissa av er kanske tror att detta gör överträdelsen mycket mindre farligt, men som vi kommer att ta reda på om en minut är detta inte riktigt fallet. Innan vi kommer till de potentiella konsekvenserna, låt oss dock se vad som läckte ut och vem som hade tillgång till det.

Hackare stal den personliga informationen från mer än 10,6 miljoner hotellgäster under 2019

Överträdelsen inträffade tydligen förra sommaren, och även om den inte officiellt tillkännagav det, kontaktade MGM åtminstone några av de drabbade individerna för att berätta om händelsen. Som Cimpanu noterade diskuterade människor brottmeddelandena vid den tiden, men läckan lyckades inte få något intresse från media, vilket, med tanke på vad som är i dumpningen, är något konstigt.

Under attacken lyckades hackarna göra sig av med de personliga uppgifterna om 10 683 188 hotellgäster. Den läckta informationen inkluderade namn, hem- och e-postadresser, telefonnummer och födelsedatum. Cimpanu och Under the Breach: s forskare försökte kontakta några få personer i databasen, och även om vissa telefonnummer inte längre var giltiga svarade gästerna och sa att de hade stannat kvar på MGM-hotell före 2018.

Kändisar, reportrar och myndigheter drabbades också

MGM Resorts är en massiv kedja av lyxhotell, och mot bakgrund av detta borde det förmodligen inte vara för överraskande att, som den läckta databasen visar, några kända namn har använt sina platser.

Under Breachs forskare sa till ZDNet att databasen innehåller detaljerna för DHS- och TSA-tjänstemän, och Cimpanu själv såg namnen på en hel del välkända reportrar som har stannat kvar på MGM-platser under konferenser och högprofilerade evenemang. Överträdelsen drabbade också popstjärnan Justin Bieber och Twitters VD, Jack Dorsey, även om det förblir okänt om de, liksom andra gäster, informerades privat om attacken.

Den potentiella skadan är betydande

Oundvikligen dras paralleller mellan MGM: s överträdelse och 2017: s attack på Marriot-hotell. På cirka 500 miljoner är antalet drabbade gäster av Marriot läcka mycket större, men det betyder inte att Dorsey, Bieber och resten av de människor vars information finns i MGM-dumpningen borde slappna av. De komprometterade uppgifterna har redan varit i kriminella händer i minst sex månader, och nu är de tillgängliga för alla som vill ladda ner dem. Avsaknaden av kreditkortsuppgifter är ingen anledning att underskatta överträdelsen heller.

För att betona de potentiella konsekvenserna av läckan delade Catalin Cimpanu sina tankar om hur den stulna informationen kunde ha hjälpt hackare att kompromissa med Jack Dorseys Twitter-konto. Som några av er kanske kommer ihåg, i augusti förra året kapade skurkarna Dorsey's microblogging-konto efter att ha installerat en SIM-byte mot honom, och Cimpanu spekulerar i att de kan ha hämtat hans telefonnummer från MGM: s databas. Naturligtvis är detta, enligt reporternas egna ord, en "galna teori" som inte kan bekräftas eller förnekas, men faktum är att ingenting om det kan klassificeras som "omöjligt".

Förutom att SIM-byte måste personer som drabbas av MGM: s intrång också vara på jakt efter riktade spjutfiskattacker, och med tanke på närvaron av hemadresser i databasen kanske de också vill tänka på sin fysiska säkerhet. När allt kommer omkring är informationen nu offentlig, och ingen vet vem som kan frestas av nedladdningsknappen.

February 20, 2020

Lämna ett svar