2014-2018 yılları arasında Marriott'tan çalınan 500 milyondan fazla müşterinin ödeme kartı verileri ve pasaport numaraları hiçbir şekilde şifrelenmedi. Otel zinciri bunu ABD'de açılan bir davada kabul etmek zorunda kaldı. Ancak Marriott başarısızlıklarını halının altına süpürmeye çalışıyor.
Duyuru
Yıllardır Marriott, veri kayıtlarının AES-128 ile şifrelenmesinin o kadar etkili olduğunu, endişelenmek için hiçbir neden olmadığını, etkilenen müşterilerin tazminat davası açması için hiçbir yasal neden olmadığını savundu. Ancak mahkemedeki altıncı yılından sonra itiraf geldi: AES-128 veya başka bir yöntemle şifreleme yoktu.
Aslında veriler SHA-1 ile basitçe hashlendi. Özellikle kredi kartı numaraları ve pasaportlar gibi bilinen formattaki kısa veriler, standart ev donanımı kullanılarak hızlı bir şekilde hesaplanabilir.
Geç güncelleme
Ancak Marriott, etkilenen müşterilerini asılsız iddia konusunda bilgilendirmeye değmeyeceğine inanıyordu. Marriott, Kasım 2018'den bu yana bir web sitesinde bir güncellemeyi çevrimiçi olarak yayınlaması ancak hakimin emriyle gerçekleşti. Marriott da güncellemenin açıklığa kavuşturulmasını beklemiyor: “Marriott artık ödeme kartı verilerinin ve bazı pasaport numaralarının… Güvenli Hash Algoritması 1 (SHA-1) olarak bilinen farklı bir şifreleme yöntemiyle kullanılır.
Bu, son iki kelime dışında teknik olarak doğrudur ancak birçok tüketicide yanlış izlenim bırakması muhtemeldir. SHA-1 bir yandan isminin aksine “güvenli” olmaktan uzak, diğer yandan hashler bir “kriptografik yöntem” ama bir şifreleme yöntemi değil. O zaman bile “korunmuş” olmaktan söz edilmiyordu.
Uzun süreç
Müşteri grupları tarafından çeşitli ABD mahkemelerinde en az 59 dava açılmış ve Marriott'un talebi üzerine Maryland Bölge Mahkemesinde birleştirilmiştir (Referans: Marriott International, Müşteri Veri Güvenliği İhlali Davası, Ref. 8:19-md-02879). Marriott daha sonra sadakat programında yalnızca New York'ta bireysel davalara izin veren bir maddeyi öne sürerek toplu dava sertifikasını engellemeye çalıştı. Ancak Marriott, Maryland'deki tüm davaların birleştirilmesine yönelik kendi talebiyle bu talepten feragat etti çünkü bu tür bir birleştirme, bireysel davaların tam tersidir.
ABD'deki sürecin sonu görünmüyor. Kanada'da Marriott, zayıf güvenliğin izinsiz girişlere izin vermesi nedeniyle bir toplu dava davasını başarıyla savundu, ancak Kanada Temyiz Mahkemesinin 2022'de tespit ettiği gibi bunlar zorla giriş değil.
Marriott'un ilk dahili alarmı 7 Eylül 2018'de gerçekleşti. Üç gün sonra çalışanlar alarmın meşru olduğunu keşfetti. Daha sonra yapılan bir iç soruşturma, saldırganların sisteme Temmuz 2014'te girdiğini ortaya çıkardı. 30 Kasım 2018'de Marriott, yetkililere ve kamuoyuna izinsiz giriş konusunda bilgi verdi. Otel grubu, ödeme kartı verilerinin ve pasaport numaralarının AES-128 ile şifrelenmediğini ancak yakın zamanda fark ettiğini söyledi.
Bu arada SHA-1 karma yöntemi 2005 yılındaki çarpışmalar nedeniyle bozuldu; Örneğin 2014 yılında Mozilla, tarayıcı sertifikaları için SHA-1'den vazgeçtiğini duyurdu. 2018'de SHA-1 karmaları, dosyalar veya veri kümeleri arasında güvenli bir şekilde ayrım yapılması amaçlandığı sürece zaten anlamsızdı.
Güncelleme
1 Mayıs 2024,
09:52
Saat
Referans, karma çarpışma hesaplamasına taşındı.
(ds)
Haberin Sonu
Duyuru
Yıllardır Marriott, veri kayıtlarının AES-128 ile şifrelenmesinin o kadar etkili olduğunu, endişelenmek için hiçbir neden olmadığını, etkilenen müşterilerin tazminat davası açması için hiçbir yasal neden olmadığını savundu. Ancak mahkemedeki altıncı yılından sonra itiraf geldi: AES-128 veya başka bir yöntemle şifreleme yoktu.
Aslında veriler SHA-1 ile basitçe hashlendi. Özellikle kredi kartı numaraları ve pasaportlar gibi bilinen formattaki kısa veriler, standart ev donanımı kullanılarak hızlı bir şekilde hesaplanabilir.
Geç güncelleme
Ancak Marriott, etkilenen müşterilerini asılsız iddia konusunda bilgilendirmeye değmeyeceğine inanıyordu. Marriott, Kasım 2018'den bu yana bir web sitesinde bir güncellemeyi çevrimiçi olarak yayınlaması ancak hakimin emriyle gerçekleşti. Marriott da güncellemenin açıklığa kavuşturulmasını beklemiyor: “Marriott artık ödeme kartı verilerinin ve bazı pasaport numaralarının… Güvenli Hash Algoritması 1 (SHA-1) olarak bilinen farklı bir şifreleme yöntemiyle kullanılır.
Bu, son iki kelime dışında teknik olarak doğrudur ancak birçok tüketicide yanlış izlenim bırakması muhtemeldir. SHA-1 bir yandan isminin aksine “güvenli” olmaktan uzak, diğer yandan hashler bir “kriptografik yöntem” ama bir şifreleme yöntemi değil. O zaman bile “korunmuş” olmaktan söz edilmiyordu.
Uzun süreç
Müşteri grupları tarafından çeşitli ABD mahkemelerinde en az 59 dava açılmış ve Marriott'un talebi üzerine Maryland Bölge Mahkemesinde birleştirilmiştir (Referans: Marriott International, Müşteri Veri Güvenliği İhlali Davası, Ref. 8:19-md-02879). Marriott daha sonra sadakat programında yalnızca New York'ta bireysel davalara izin veren bir maddeyi öne sürerek toplu dava sertifikasını engellemeye çalıştı. Ancak Marriott, Maryland'deki tüm davaların birleştirilmesine yönelik kendi talebiyle bu talepten feragat etti çünkü bu tür bir birleştirme, bireysel davaların tam tersidir.
ABD'deki sürecin sonu görünmüyor. Kanada'da Marriott, zayıf güvenliğin izinsiz girişlere izin vermesi nedeniyle bir toplu dava davasını başarıyla savundu, ancak Kanada Temyiz Mahkemesinin 2022'de tespit ettiği gibi bunlar zorla giriş değil.
Marriott'un ilk dahili alarmı 7 Eylül 2018'de gerçekleşti. Üç gün sonra çalışanlar alarmın meşru olduğunu keşfetti. Daha sonra yapılan bir iç soruşturma, saldırganların sisteme Temmuz 2014'te girdiğini ortaya çıkardı. 30 Kasım 2018'de Marriott, yetkililere ve kamuoyuna izinsiz giriş konusunda bilgi verdi. Otel grubu, ödeme kartı verilerinin ve pasaport numaralarının AES-128 ile şifrelenmediğini ancak yakın zamanda fark ettiğini söyledi.
Bu arada SHA-1 karma yöntemi 2005 yılındaki çarpışmalar nedeniyle bozuldu; Örneğin 2014 yılında Mozilla, tarayıcı sertifikaları için SHA-1'den vazgeçtiğini duyurdu. 2018'de SHA-1 karmaları, dosyalar veya veri kümeleri arasında güvenli bir şekilde ayrım yapılması amaçlandığı sürece zaten anlamsızdı.
Güncelleme
1 Mayıs 2024,
09:52
Saat
Referans, karma çarpışma hesaplamasına taşındı.
(ds)
Haberin Sonu