Gastbeitrag: Datendiebstahl bei Marriott

Bei einem Tochter-Unternehmen der Hotelkette Marriott wurden 500 Mio. Kunden- und Bezahldaten abgegriffen. Das ist heftig. Und es ist sehr wahrscheinlich nur der Anfang. Die gestohlenen Daten sind der ideale Datenpool, um damit *jetzt* Phishing-Kampagnen zu starten.

Jetzt wäre es gut eine Erhebung durchzuführen und herausfinden wieviele (.*)-marriott.com Domains konnektiert sind und welche davon *nicht* in Besitz
von Marriott oder einer seiner Töchter sind, denn ich erwarte förmlich dass wir E-Mails mit diesen Domains in URLs sehen werden:

“Ihr Konto wurde gehackt. Gehen sie zu <gefälschter Domain> hin, um ihre Kennung und ihr Kennwort zu verifizeren…”

Eine solchen Service bieten die Registries nicht. Sie sind zu beschäftigt damit, ihre Daten zu schützen. Könnte ja jemand was wegfragen…

DNS-Anfragen mit Hilfe von Response Policy Zones umleiten

Es wäre auch möglich, DNS-Anfragen an solche Domains zu “erden” und diese im eigenen DNS mit Hilfe von Response Policy Zones z.B. auf eine Info-Website umzuleiten. Access-Provider könnten das für ihre Kunden einrichten und sie so schützen.

Dort könnten verwunderte Benutzer Informationen zum Vorfall erhalten. Aber wenn sie das täten, würden sie wahrscheinlich vor allem Anrufe erboster Kunden erhalten: „Warum prüfen sie wohin ich surfe? Spionieren Sie mich etwa aus!?!“

Info-Seite von Marriott zum Vorfall leitet weiter

Marriott hat eine solche Website eingerichtet. Sie lautet info.starwoodhotels.com, aber ein Aufruf leitet einen – ohne Ankündigung – zu https://answers.kroll.com/ um. Ist das jetzt die richtige Website oder sind die auch hier gehackt worden? Von berechenbarem Verhalten keine Spur. Von einer Liste gültiger Marriott-Domains auch nicht.

Digitale Schadensbegrenzung geht anders. Dabei ist Marriott bzw. sind seine Töchter sicherlich ISO 9000 oder vielleicht sogar ISO 27001 zertifiziert. Jetzt müssten die Maßnahmen für “Business Continuity Management” greifen. Die kommen immer dann zur Anwendung wenn das Unternehmen sich in einer kritischen Ausnahmesituation befindet. Digitale Schadensbegrenzung scheint nicht oder nicht so weitreichend implementiert zu sein.

Es sind wunderbare Daten geklaut worden, denn in dem Pool befinden sich sicherlich überdurchschnittlich viele Geschäftsreisende. Das schreit nach CEO-Fraud.

DMARC als Lösung?

https://dmarc.org/

Da wäre es jetzt gut, wenn Marriott bzw. die betroffene Tochter DMARC am Start hätte. Dann könnte man alle E-Mails, die von marriott.com zu kommen vorzugeben scheinen, ablehnen.

Aber ein Eintrag für die offensichtliche Domain existiert nicht:

$ dig TXT _dmarc.marriot.com +short

Da muss man schon tief im FAQ zum Vorfall suchen und findet nebenbei: We want you to be confident that the email notification you may receive is from Marriott. The email will come from the following email address: starwoodhotels@email-marriott.com.

Die haben einen Eintrag:
$ dig TXT _dmarc.email-marriott.com +short “v=DMARC1; p=none; fo=1; rua=mailto:dmarc_rua@emaildefense.proofpoint.com; ruf=mailto:dmarc_ruf@emaildefense.proofpoint.com”

Das impliziert nun, dass Marriott DKIM nutzt. Sind die Signaturen gültig? Ja, sie sind es:

Authentication-Results: mail.sys4.de; dkim=pass header.d=email-marriott.com; dmarc=pass (policy=none) header.from=email-marriott.com; spf=pass smtp.mailfrom=–redacted–@email-marriott.com

Das ist gut, denn Postmaster können nun alle Nachrichten, die email-marriott.com im Envelope-Sender tragen und die keinen gültigen DKIM-Eintrag besitzen, schlechter bewerten und als possibly fraud bewerten und sie sogar mit “Possibly Phising” markieren oder eben der DMARC-Policy entsprechend an ihren Dienstleister melden.

Marriott benachrichtigt Betroffene per E-Mail

Ihrer Reputation schadet der Vorfall jetzt schon und das auch digital. Marriott benachrichtigt gerade alle Betroffenen per E-Mail. 500 Mio. E-Mails haben sich gestern auf den Weg gemacht und das ist nicht unentdeckt geblieben.

Die ISPs und Mailservice-Betreiber haben sich darüber unterhalten, weil das dann doch ungewöhnliche Mengen sind. Und sie mussten die Sender erst einmal whitelisten, weil diese Mengen eben auch der digitalen Reputation schaden.

Jene mit der die Sendergüte in Anti-Spam-Systemen automatisiert berechnet wird und die mittlerweile entscheidend Anteil daran hat, ob eine Nachricht als Spam klassifiziert wird und verschwindet oder ob sie zugestellt wird.

So schadet der Vorfall dem Unternehmen nun auch im digitalen Geschäftsleben. Sie werden für eine Weile Mühe haben, legitime Nachrichten zustellen zu
können. Kunden, die auf Buchungsbestätigungen per E-Mail warten, werden ungeduldig im Hotel anrufen. Das wird Ressourcen binden. Für Marriot geht der Ärger jetzt erst los. Es hat was von digitalem Selbstmord.

Über den Autor

Patrick Koetter, CEO sys4 AG

Patrick Koetter ist CEO der sys4 AG und Leiter der eco Kompetenzgruppe “Anti-Abuse“. Dort tauschen sich ISPs und andere Unternehmen zu Mißbrauch imInternet aus. Sie lernen voneinander und etablieren gemeinsam Methoden, um sich und ihre Kunden besser zu schützen.