E’ di questi giorni la notizia che la catena Internazionale di Hotel Marriott ha subito una grave violazione informatica, e purtroppo si tratta del secondo attacco negli ultimi due anni.
Laconicamente alla fine del comunicato ufficiale c’è scritto “L’ultimo incidente mette in dubbio l’efficacia delle riforme della sicurezza di Marriott.”
Ed infatti qualche dubbio bisognerebbe proprio porselo.
Nel 2018, sono state divulgate le informazioni di 5,2 milioni di ospiti violando un’applicazione aziendale ed utilizzando per accedere le credenziali di due dipendenti di un franchising della società.
Per questo problemino l’ICO (Information Commissioner’s Office) ha notificato a Marriott International una multa di £99,200,396 per aver infranto il General Data Protection Regulation (GDPR).
Ma evidentemente non è stato sufficiente, perché all’origine del furto dei giorni c’è sempre un accesso ad applicazioni aziendali utilizzano credenziali rubate.
E quali informazioni sono state rubate?
Dettagli di contatto, inclusi indirizzi e-mail e numeri di telefono; informazioni relative a carte fedeltà dei clienti; dati personali come datori di lavoro, sesso e date di nascita; programmi di fidelizzazione; le preferenze degli ospiti, ad esempio tipo di camera e le lingue.
Nel comunicato stampa del 31 marzo 2020 l’azienda rassicura i clienti invitando anche i possibili interessati a modificare i propri account.”Riteniamo che questa attività sia iniziata a metà gennaio 2020 e dopo la scoperta, abbiamo disabilitato che le credenziali di accesso, avviato immediatamente un’indagine, abbiamo implementato i sistemi di monitoraggio e organizzato risorse per informare e assistere i nostri ospiti.”
Si poteva evitare il ripetersi di tutto ciò?
La risposta è SI!
Cambiando l’approccio ai problemi, e pensando a soluzioni proattive di sicurezza.
Ad esempio con Beyondtrust si può esercitare dinamicamente un controllo granulare sull’accesso ad applicazioni, attività e script. Si possono aumentare gli accessi alle applicazioni senza elevare i privilegi effettivi dell’utente.
Quindi per cominciare bastava dotarsi di un sistema di Privileged Access Management Nel video in cui ne parla Davide lo spiega alle sue bambine, più semplice di così!