bencede
New member
2014-2018 yılları arasında Marriott'tan çalınan 500 milyondan fazla müşterinin ödeme kartı verileri ve pasaport numaraları hiçbir şekilde şifrelenmedi. Otel zinciri bunu ABD'de açılan bir davada kabul etmek zorunda kaldı. Ancak Marriott başarısızlıklarını halının altına süpürmeye çalışıyor.
Duyuru
Yıllardır Marriott, veri kayıtlarının AES-128 ile şifrelenmesinin o kadar etkili olduğunu, endişelenmek için hiçbir neden olmadığını, etkilenen müşterilerin tazminat davası açması için hiçbir yasal neden olmadığını savundu. Ancak mahkemedeki altıncı yılından sonra itiraf geldi: AES-128 veya başka bir yöntemle şifreleme yoktu.
Aslında veriler SHA-1 ile basitçe hashlendi. Ancak bu karma yöntemi 2005 yılında kırıldı; Örneğin 2014 yılında Mozilla, tarayıcı sertifikaları için SHA-1'den vazgeçtiğini duyurdu. 2018'de SHA-1 ile hash'ler zaten anlamsızdı. Özellikle kredi kartı ve pasaport numaraları gibi bilinen formattaki kısa veriler, standart ev donanımı kullanılarak hızla yeniden hesaplanabiliyor.
Geç güncelleme
Ancak Marriott, etkilenen müşterilerini asılsız iddia konusunda bilgilendirmeye değmeyeceğine inanıyordu. Marriott, Kasım 2018'den bu yana bir web sitesinde bir güncellemeyi çevrimiçi olarak yayınlaması ancak hakimin emriyle gerçekleşti. Marriott da güncellemenin açıklığa kavuşturulmasını beklemiyor: “Marriott artık ödeme kartı verilerinin ve bazı pasaport numaralarının… Güvenli Hash Algoritması 1 (SHA-1) olarak bilinen farklı bir şifreleme yöntemiyle kullanılır.
Bu, son iki kelime dışında teknik olarak doğrudur ancak birçok tüketicide yanlış izlenim bırakması muhtemeldir. SHA-1 bir yandan isminin aksine “güvenli” olmaktan uzak, diğer yandan hashler bir “kriptografik yöntem” ama bir şifreleme yöntemi değil. 2018 öncesinde bile “korunmuş” olmaktan söz edemiyorduk.
Uzun süreç
Müşteri grupları tarafından çeşitli ABD mahkemelerinde en az 59 dava açılmış ve Marriott'un talebi üzerine Maryland Bölge Mahkemesinde birleştirilmiştir (Referans: Marriott International, Müşteri Veri Güvenliği İhlali Davası, Ref. 8:19-md-02879). Marriott daha sonra sadakat programında yalnızca New York'ta bireysel davalara izin veren bir maddeyi öne sürerek toplu dava sertifikasını engellemeye çalıştı. Ancak Marriott, Maryland'deki tüm davaların birleştirilmesine yönelik kendi talebiyle bu talepten feragat etti çünkü bu tür bir birleştirme, bireysel davaların tam tersidir.
ABD'deki sürecin sonu görünmüyor. Kanada'da Marriott, zayıf güvenliğin izinsiz girişlere izin vermesi nedeniyle bir toplu dava davasını başarıyla savundu, ancak Kanada Temyiz Mahkemesinin 2022'de tespit ettiği gibi bunlar zorla giriş değil.
Marriott'un ilk dahili alarmı 7 Eylül 2018'de gerçekleşti. Üç gün sonra çalışanlar alarmın meşru olduğunu keşfetti. Daha sonra yapılan bir iç soruşturma, saldırganların sisteme Temmuz 2014'te girdiğini ortaya çıkardı. 30 Kasım 2018'de Marriott, yetkililere ve kamuoyuna izinsiz giriş konusunda bilgi verdi. Otel grubu, ödeme kartı verilerinin ve pasaport numaralarının AES-128 ile şifrelenmediğini ancak yakın zamanda fark ettiğini söyledi.
(ds)
Haberin Sonu
Duyuru
Yıllardır Marriott, veri kayıtlarının AES-128 ile şifrelenmesinin o kadar etkili olduğunu, endişelenmek için hiçbir neden olmadığını, etkilenen müşterilerin tazminat davası açması için hiçbir yasal neden olmadığını savundu. Ancak mahkemedeki altıncı yılından sonra itiraf geldi: AES-128 veya başka bir yöntemle şifreleme yoktu.
Aslında veriler SHA-1 ile basitçe hashlendi. Ancak bu karma yöntemi 2005 yılında kırıldı; Örneğin 2014 yılında Mozilla, tarayıcı sertifikaları için SHA-1'den vazgeçtiğini duyurdu. 2018'de SHA-1 ile hash'ler zaten anlamsızdı. Özellikle kredi kartı ve pasaport numaraları gibi bilinen formattaki kısa veriler, standart ev donanımı kullanılarak hızla yeniden hesaplanabiliyor.
Geç güncelleme
Ancak Marriott, etkilenen müşterilerini asılsız iddia konusunda bilgilendirmeye değmeyeceğine inanıyordu. Marriott, Kasım 2018'den bu yana bir web sitesinde bir güncellemeyi çevrimiçi olarak yayınlaması ancak hakimin emriyle gerçekleşti. Marriott da güncellemenin açıklığa kavuşturulmasını beklemiyor: “Marriott artık ödeme kartı verilerinin ve bazı pasaport numaralarının… Güvenli Hash Algoritması 1 (SHA-1) olarak bilinen farklı bir şifreleme yöntemiyle kullanılır.
Bu, son iki kelime dışında teknik olarak doğrudur ancak birçok tüketicide yanlış izlenim bırakması muhtemeldir. SHA-1 bir yandan isminin aksine “güvenli” olmaktan uzak, diğer yandan hashler bir “kriptografik yöntem” ama bir şifreleme yöntemi değil. 2018 öncesinde bile “korunmuş” olmaktan söz edemiyorduk.
Uzun süreç
Müşteri grupları tarafından çeşitli ABD mahkemelerinde en az 59 dava açılmış ve Marriott'un talebi üzerine Maryland Bölge Mahkemesinde birleştirilmiştir (Referans: Marriott International, Müşteri Veri Güvenliği İhlali Davası, Ref. 8:19-md-02879). Marriott daha sonra sadakat programında yalnızca New York'ta bireysel davalara izin veren bir maddeyi öne sürerek toplu dava sertifikasını engellemeye çalıştı. Ancak Marriott, Maryland'deki tüm davaların birleştirilmesine yönelik kendi talebiyle bu talepten feragat etti çünkü bu tür bir birleştirme, bireysel davaların tam tersidir.
ABD'deki sürecin sonu görünmüyor. Kanada'da Marriott, zayıf güvenliğin izinsiz girişlere izin vermesi nedeniyle bir toplu dava davasını başarıyla savundu, ancak Kanada Temyiz Mahkemesinin 2022'de tespit ettiği gibi bunlar zorla giriş değil.
Marriott'un ilk dahili alarmı 7 Eylül 2018'de gerçekleşti. Üç gün sonra çalışanlar alarmın meşru olduğunu keşfetti. Daha sonra yapılan bir iç soruşturma, saldırganların sisteme Temmuz 2014'te girdiğini ortaya çıkardı. 30 Kasım 2018'de Marriott, yetkililere ve kamuoyuna izinsiz giriş konusunda bilgi verdi. Otel grubu, ödeme kartı verilerinin ve pasaport numaralarının AES-128 ile şifrelenmediğini ancak yakın zamanda fark ettiğini söyledi.
(ds)
Haberin Sonu