O Grupo Marriot, dono de uma das maiores redes hoteleiras do mundo, revelou em uma ação judicial ter sido vítima de uma violação massiva de dados em 2018 em que estava usando o algoritmo de hash seguro SHA-1 e não criptografia AES-1 muito mais segura, como havia sustentado anteriormente. Durante mais de cinco anos, o Marriott se defendeu sobre a violação de dados, argumentando que seu nível de criptografia (AES-128) era tão forte que o caso contra ela deveria ser arquivado.
Entretanto, em uma audiência no dia 10 de abril, a rede de hotéis admitiu que nunca havia usado AES-128 durante o período da violação. Na verdade, ela não usava nenhum sistema de criptografia na época, mas sim o algoritmo de hash seguro SHA-1, que é um mecanismo de hashing, processo que pode ser comparado à geração de uma impressão digital única para dados, e não criptografia.
Durante a audiência do Tribunal Distrital da Divisão Sul do Distrito de Maryland, nos EUA, o juiz John Preston Bailey ordenou que o Marriott “corrigisse qualquer informação em seu site dentro de sete dias”. A rede de hotéis não divulgou um comunicado à imprensa nem sinalizou a mudança em sua homepage. Em vez disso, adicionou duas frases a uma página de seu site publicada em 4 de janeiro de 2019. A atualização de duas frases, feita em 17 de abril deste ano, diz: “Após uma investigação com vários especialistas importantes em segurança de dados, o Marriott determinou inicialmente que os números de cartão de pagamento e determinados números de passaporte envolvidos no incidente de segurança do banco de dados Starwood, relatado em 30 de novembro de 2018, foram protegidos usando criptografia Advanced Encryption Standard 128 (AES-128). O Marriott determinou agora que os números dos cartões de pagamento e alguns dos números de passaporte nessas tabelas foram protegidos com um método criptográfico diferente conhecido como Secure Hash Algorithm 1 (SHA-1).”
Veja isso
Vazamento marca novo incidente com a rede Marriott
Grupo Marriott multado em 18 milhões de libras no Reino Unido
Até o momento, o Marriott não respondeu a nenhum questionamento sobre a admissão de ter fornecido declarações falsas. Em março de 2019, a empresa havia relatado gastos de US$ 28 milhões relacionados à violação.
Os advogados dos consumidores que estão processando o Marriott argumentaram com o juiz Bailey que a nova informação é séria porque é bem aceito que o SHA-1 não é criptografia, mas um algoritmo de hashing que pode ser hackeado muito rapidamente. Eles acrescentaram que um especialista em segurança contratado pelas vítimas sustenta que a proteção dos dados de cartão de pagamento através do SHA-1 é funcionalmente igual à ausência de criptografia, “já que qualquer hacker usando um laptop moderno poderia ter revelado o pagamento números de cartão e passaporte exfiltrados do banco de dados do Marriott.”
Para ter acesso à atualização feita em 17 de abril deste ano sobre incidente de segurança de banco de dados Starwood clique aqui. Com agências de notícias internacionais.
