Ukiukaji wa data ya Marriott: Pasipoti hazijasimbwa kwa njia fiche

Marriott leo alisema kuwa timu za wachunguzi wa uchunguzi wa data na data wamegundua "takriban rekodi milioni 383 kama kikomo cha juu" kwa jumla ya rekodi za kutoridhishwa kwa wageni zilizopotea. Kampuni hiyo bado inasema haijui ni nani aliyefanya shambulio hilo, na ilipendekeza kwamba takwimu hiyo itapungua kwa muda kwani rekodi zaidi za dhibitisho zinatambuliwa.

Kilichofanya shambulio la Starwood kuwa tofauti ni uwepo wa nambari za pasipoti, ambazo zinaweza kurahisisha huduma ya ujasusi kufuatilia watu wanaovuka mipaka. Hiyo ni muhimu sana katika kesi hii: Mnamo Desemba, The New York Times iliripoti kwamba shambulio hilo lilikuwa sehemu ya juhudi za kukusanya ujasusi za Wachina ambazo, kufikia 2014, pia ziliwatia bima bima ya afya ya Merika na Ofisi ya Usimamizi wa Wafanyikazi, ambayo inaweka usalama faili za idhini kwa mamilioni ya Wamarekani.

Hadi sasa, hakuna kesi zinazojulikana ambazo pasipoti iliyoibiwa au habari ya kadi ya mkopo ilipatikana katika shughuli za ulaghai. Lakini kwa wachunguzi wa shambulio la mtandao, hiyo ni ishara nyingine tu kwamba udukuzi huo ulifanywa na mashirika ya ujasusi, sio wahalifu. Wakala zingetaka kutumia data hiyo kwa malengo yao - kujenga hifadhidata na kufuatilia serikali au malengo ya ufuatiliaji wa viwanda - badala ya kutumia data kwa faida ya kiuchumi.

Kwa pamoja, shambulio hilo lilionekana kuwa sehemu ya juhudi pana na Wizara ya Usalama ya Jimbo la China kukusanya hifadhidata kubwa ya Wamarekani na wengine walio na nyadhifa nyeti za serikali au tasnia - pamoja na mahali walipofanya kazi, majina ya wenzao, mawasiliano ya nje na marafiki , na wapi wanasafiri.

"Takwimu kubwa ni wimbi jipya la ujasusi," James A. Lewis, mtaalam wa usalama wa mtandao ambaye anaendesha programu ya sera ya teknolojia katika Kituo cha Mafunzo ya Mkakati na Kimataifa huko Washington, alisema mwezi uliopita.

Marriott International ilisema rekodi chache za wateja ziliibiwa kuliko ilivyohofiwa hapo awali lakini ikaongeza kuwa zaidi ya nambari za pasipoti milioni 25 ziliibiwa katika shambulio la mtandao la mwezi uliopita. Kampuni hiyo ilisema leo kwamba udukuzi mkubwa wa habari za kibinafsi katika historia haukuwa mkubwa kama vile walivyoogopa kwanza lakini kwa mara ya kwanza ilikubali kwamba kitengo chake cha hoteli ya Starwood hakikuficha nambari za pasipoti kwa wageni karibu milioni 5. Nambari hizo za pasipoti zilipotea katika shambulio ambalo wataalam wengi wa nje wanaamini lilitekelezwa na mashirika ya ujasusi ya China.

Shambulio hilo lilipofunuliwa mara ya kwanza na Marriott mwishoni mwa Novemba, ilisema habari juu ya wageni zaidi ya milioni 500 wanaweza kuwa wameibiwa, yote kutoka kwa hifadhidata ya kutoridhishwa ya Starwood, mnyororo mkubwa wa hoteli ambao Marriot alikuwa amepata. Lakini wakati huo, kampuni hiyo ilisema kwamba takwimu hiyo ilikuwa hali mbaya zaidi kwa sababu ilijumuisha mamilioni ya rekodi za nakala.

Takwimu iliyorekebishwa bado ni hasara kubwa zaidi katika historia, kubwa kuliko shambulio la Equifax, shirika la kuripoti mkopo wa watumiaji, ambalo lilipoteza leseni ya udereva na nambari za Usalama wa Jamii za takriban Wamarekani milioni 145.5 mnamo 2017, na kusababisha kufukuzwa kwa mtendaji wake mkuu na upotezaji mkubwa wa ujasiri katika kampuni.

Afisa mmoja wa juu wa Wizara ya Usalama wa Jimbo la China alikamatwa nchini Ubelgiji mwishoni mwa mwaka jana na kupelekwa Merika kwa madai ya kucheza jukumu kuu katika utapeli wa kampuni zinazohusiana na ulinzi wa Merika, na wengine walitambuliwa katika mashtaka ya Idara ya Sheria katika Desemba. Lakini kesi hizo hazikuhusiana na shambulio la Marriott, ambalo FBI bado linachunguza.

Uchina imekanusha ufahamu wowote wa shambulio la Marriott. Mnamo Desemba, Geng Shuang, msemaji wa Wizara yake ya Mambo ya nje, alisema, "Uchina inapinga vikali aina zote za ushambuliaji wa mtandao na kuzivunja kwa mujibu wa sheria."

"Ikiwa itapewa ushahidi, idara zinazohusika za China zitafanya uchunguzi kulingana na sheria," msemaji huyo akaongeza.

Uchunguzi wa Marriott umebaini udhaifu mpya katika mifumo ya hoteli: Ni nini kinachotokea kwa data ya pasipoti wakati mteja anafanya uhifadhi au anakagua hoteli, kawaida nje ya nchi, na kukabidhi pasipoti kwa karani wa dawati. Marriott alisema kwa mara ya kwanza kwamba nambari za pasipoti milioni 5.25 ziliwekwa kwenye mfumo wa Starwood wazi, faili za data ambazo hazina maandishi - ikimaanisha zilisomwa kwa urahisi na mtu yeyote ndani ya mfumo wa uhifadhi. Nambari za ziada za pasipoti milioni 20.3 ziliwekwa kwenye faili zilizosimbwa kwa njia fiche, ambazo zinahitaji kitufe cha usimbaji fiche kusoma. Haijulikani ni wangapi kati ya wale waliohusika na pasipoti za Amerika na ni wangapi wanatoka nchi zingine.

"Hakuna ushahidi kwamba mtu asiyeidhinishwa wa tatu alipata ufunguo mkuu wa usimbuaji unaohitajika kuficha nambari za pasipoti zilizosimbwa," Marriott alisema katika taarifa.

Haikufahamika mara moja kwa nini nambari zingine zilisimbwa kwa njia fiche na zingine hazikuwa - isipokuwa hoteli hizo katika kila nchi, na wakati mwingine kila mali, ilikuwa na itifaki tofauti za kushughulikia habari ya pasipoti. Wataalam wa ujasusi wanaona kuwa mashirika ya ujasusi ya Merika mara nyingi hutafuta nambari za pasipoti za wageni wanaofuatilia nje ya Merika - ambayo inaweza kuelezea ni kwanini serikali ya Merika haijasisitiza usimbuaji wenye nguvu wa data ya pasipoti ulimwenguni.

Alipoulizwa jinsi Marriott alikuwa akishughulikia habari hiyo sasa kwa kuwa imeunganisha data ya Starwood katika mfumo wa uhifadhi wa Marriott - muunganiko ambao ulikamilishwa tu mwishoni mwa 2018 - Connie Kim, msemaji wa kampuni, alisema: "Tunaangalia uwezo wetu wa kuhamia kwa usimbaji fiche wa nambari za pasipoti na tutafanya kazi na wauzaji wa mifumo yetu kuelewa vizuri uwezo wao, na pia kukagua kanuni zinazofaa za kitaifa na za mitaa. ”

Idara ya Jimbo ilitoa taarifa mwezi uliopita kuwaambia wamiliki wa pasipoti wasiwe na hofu kwa sababu nambari pekee haiwezi kumwezesha mtu kuunda pasipoti bandia. Marriott amesema italipa pasipoti mpya kwa mtu yeyote ambaye habari ya pasipoti, iliyotapeliwa kutoka kwa mifumo yao, iligundulika kuhusika na ulaghai. Lakini hiyo ilikuwa jambo la ushirika wa ushirika, kwani haikutoa chanjo kwa wageni ambao walitaka pasipoti mpya kwa sababu tu data zao zilichukuliwa na wapelelezi wa kigeni.

Kufikia sasa, kampuni hiyo imezama kushughulikia suala hilo kwa kusema haina ushahidi juu ya washambuliaji hao walikuwa nani, na Merika haijashtaki China rasmi katika kesi hiyo. Lakini vikundi vya kibinafsi vya ujasusi ambavyo vimeangalia ukiukaji vimeona kufanana sawa na mashambulio mengine, yanayohusiana na Wachina yanaendelea wakati huo. Rais na mkurugenzi mkuu wa kampuni hiyo, Arne Sorenson, hajajibu maswali juu ya udukuzi huo hadharani, na Marriott alisema alikuwa akisafiri na alikataa ombi kutoka The Times kuzungumza juu ya udukuzi.

Kampuni hiyo pia ilisema karibu kadi milioni 8.6 za mkopo na malipo "zilihusika" katika tukio hilo, lakini hizo zote zimesimbwa kwa njia fiche - na kadi zote isipokuwa 354,000 zilikuwa zimemalizika mnamo Septemba 2018, wakati utapeli huo, ambao uliendelea kwa miaka, uligunduliwa.