O que o vazamento do Marriott nos ensina sobre ataques persistentes. Por Carlos Cabral da Tempest
20 de dezembro de 2018Criminosos permaneceram por quatro anos na rede dos hotéis Marriott e 500 milhões de pessoas foram afetadas
Por: Carlos Cabral
Carlos Cabral
O sistema de monitoramento de segurança da cadeia de hotéis Marriott emitiu um alerta em algum momento do sábado, 8 de setembro de 2018: alguém estava tentando acessar um de seus sistemas de reservas de forma não autorizada.
Entretanto, na segunda-feira (10), ficou claro para as equipes da empresa que o caso se tratava de um incidente de segurança e o ataque, enfim, foi contido.
A extensão do problema só ficou evidente em novembro, com a descoberta de que os dados de 500 milhões de pessoas foram comprometidos.
Essa é uma história que nos oferece um aprendizado valioso, assim como em qualquer caso de vazamento de dados.
Algumas dessas lições são frequentemente citadas em vários lugares como, por exemplo, a importância de revisar controles para evitar acessos persistentes; outros ensinamentos são conceitualmente elementares, porém raramente considerados — como a necessidade de incorporar avaliações de segurança ao processo de fusão ou aquisição de empresas.
O Vazamento
Segundo o comunicado do Marriott, os atacantes teriam copiado e criptografado os dados, forçando os investigadores a tentar decifrar o pacote, o que somente aconteceu no dia 19 de novembro. Isso justificaria os dois meses entre a detecção e a divulgação do incidente ao mercado.
Assim que o pacote foi descriptografado, as equipes puderam identificar que se tratava do banco de dados do sistema de reservas da Starwood, cadeia de hotéis adquirida pelo Marriott em 2016, na negociação que, segundo a BBC, criou o maior conglomerado de hotéis do mundo.
O banco de dados armazenava dois conjuntos de informações: o primeiro envolvia 327 milhões de pessoas e continha nomes, datas de nascimento, gênero, endereços de correspondência, endereços de e-mail, números de telefone, informações do programa de fidelidade da Starwood (o comunicado não diz que informações seriam essas), números de passaporte, preferências por canais de comunicação e datas de reserva, chegada e saída.
Já o segundo pacote possuía nomes e endereços de e-mail e de correspondência ou outras informações — não foi detalhado o que seriam essas “outras informações”. O vazamento contém o histórico de reservas da Starwood até o dia 10 de setembro, quando o ataque foi contido.
Números de cartões de crédito e suas respectivas datas de expiração, criptografados usando o algoritmo AES-128, também vazaram.
Além disso, a empresa diz que não é possível garantir a segurança da chave que protege esses dados, pois a investigação descobriu evidências da presença de atacantes na rede da Starwood desde 2014.
Este incidente ocupa o sétimo lugar dentre os maiores vazamentos de dados da história, ficando atrás dos ocorridos com a River City Media em 2017 (envolvendo 1,3 bilhões de registros), dos dois vazamentos no serviço de identidade indiano Aadhaar em janeiro e março desse ano, (contemplando 2,1 bilhões de registros), dos incidentes no Yahoo em 2013 e 2014 (que totalizaram 1,5 bilhões de registros) e do de um Spambot no ano passado contendo 711 milhões de registros.
Entretanto, o conjunto de dados do Marriott é muito rico, combinando dados cadastrais, de pagamento e do comportamento dos consumidores.
É possível fazer muitas coisas com essas informações. Em primeiro lugar, mesclar esses dados com os de outros vazamentos: como os já citados no parágrafo anterior ou com os dados roubados do LinkedIn (2016), da Equifax (2017), do MyFitnessPal (divulgado em março), entre outros.
O resultado da mescla pode oferecer um panorama tão vasto sobre a vida das pessoas que se torna viável não somente realizar fraudes contra instituições financeiras e contra o e-commerce, mas também é possível usar os dados pessoais e as senhas (geralmente reutilizadas pelos usuários em várias plataformas) para monitorar contas pessoais em serviços variados, como os de saúde ou redes sociais, com o objetivo de vigiar ou extorquir indivíduos.
Outra utilidade para esses dados é a criação de identidades sintéticas. Segundo o instituto Juniper Research, as perdas globais com fraudes online alcançarão anualmente 48 bilhões de dólares em 2023 e um dos fatores que mais colaboram com essa tendência é a combinação de dados de diversos vazamentos na criação de identidades completamente novas, porém com um histórico completo baseado em fragmentos de informações geradas por outras pessoas.
Ou seja, um “José da Silva” sintético poderia ter uma ótima nota de crédito baseada no histórico de comportamento de vários bons pagadores.
Já demonstramos em outros artigos produzidos pela Tempest como esse conceito já é aplicado em golpes ligados ao financiamento de veículos e na falsificação de documentos. Isso evidencia que qualquer fragmento de dado pode ser convertido em algum valor para os criminosos.
1460 dias de persistência, aproximadamente
Exceção feita aos sabotadores, é comum aos atacantes estabelecer mecanismos para persistência nos dispositivos das vítimas. Isso acontece nos ataques contra estações de trabalho com o objetivo de mantê-las como “zumbis” pelo maior tempo possível, contra dispositivos IoT visando formar exércitos para ataques de DDoS e também em campanhas de vigilância e espionagem em que manter a discrição é algo vital.
Entretanto, os acessos persistentes em empresas também alimentam um mercado em que estes podem ser emprestados, alugados, vendidos e até roubados.
A investigação do caso não conseguiu estabelecer a data exata em que o ataque ocorreu, mas admite que o sistema de reservas da Starwood esteve exposto aos atacantes, pelo menos, desde 2014.
Todo esse tempo pode ter permitido que vários indivíduos tivessem acesso ao ambiente dos hotéis até satisfazerem seu interesse e passarem o acesso adiante.
Isso pode ter acontecido até que uma dessas pessoas tenha feito “barulho” demais ao extrair os dados, sendo detectada pelo monitoramento de segurança da empresa.
Dentre as fases iniciais de um ataque, uma das mais importantes é a atividade de pivoting, que se resume em buscar um ponto privilegiado no qual seja possível se manter por muito tempo, extraindo informações sem despertar suspeitas.
Acessos persistentes podem estar ocultos em estações de trabalho com acesso a servidores importantes, disfarçados de serviços do sistema operacional ou até bastante evidentes em servidores cuja administração de segurança é deficiente.
Independentemente da localização ou da forma, a identificação de acessos persistentes não é algo impossível de fazer, mas depende da alocação de recursos dedicados a monitorar o comportamento de redes e dispositivos e investigar anomalias a fundo.
Muitos dos especialistas em segurança ouvidos pela imprensa após a divulgação do vazamento apontaram para o fato de que esse tipo de acesso não autorizado ao ambiente da Starwood deveria ter sido detectado no processo due diligence conduzido pelo Marriott, enquanto acontecia a negociação de compra da Starwood.
A interpretação é correta pois, como afirma Ciaran Martin, CEO do NCSC britânico, “cyber risk is a business risk”.
Todos os processos de fusão e aquisição de empresas contam com a análise dos riscos financeiros inerentes ao negócio e também é comum, em qualquer negociação séria, que seja feita uma avaliação das condições do que se está comprando.
A negociação entre Marriott e Starwood juntou ativos de 30 marcas e 5800 propriedades em 130 países. É comum que processos de due diligence em negociações desse porte sejam mais focados nas questões financeiras e lidem com outros temas de forma amostral.
No entanto, o caso pode servir como um alerta sobre a necessidade de envolver avaliações de segurança nos processos de due diligence de fusões e aquisições.
Consequências
Três ações judiciais contra o Marriott foram apresentadas na Justiça dos estados americanos do Oregon e Maryland horas após o vazamento ter sido divulgado na imprensa; um desses processos pede o pagamento de US$12.5 bilhões em reparações.
Em Washington, o Senador democrata Chuck Schumer afirmou que a empresa deveria pagar pela reemissão de todos os passaportes envolvidos no incidente, aproximadamente US$100 por documento; também estão sendo previstas as consequências com relação a possíveis violações da GDPR.
Segundo especialistas ouvidos pela imprensa, é provável que os processos na Justiça se convertam em uma única, demorada e desgastante ação milionária, nos moldes dos processos contra a Uber, com o pagamento de US$148 milhões pelo vazamento de 57 milhões de registros em 2016 e contra o Yahoo que pagou US$85 milhões pelo incidente de 2014.
Com relação ao valor de mercado, um estudo de 2017 indica que empresas que sofrem ataques semelhantes ao do Marriott perdem, em média, 5% do seu valor assim que o mercado tem conhecimento do incidente.
Mas é possível se recuperar rapidamente dependendo da reação ao problema. Há casos de recuperação do valor de mercado em 7 dias, quando a vítima se submete a auditorias e mantém uma relação de transparência com o mercado.
Já nas situações em que fica confirmado que a empresa possui um nível de segurança muito abaixo do aceitável e que esconde informações do mercado, a recuperação pode ser superior a noventa dias.
A pesquisa demonstrou que 45 dias é o tempo médio de retorno aos níveis anteriores à data de divulgação do incidente.
Leia também…
