Xakep #305. Многошаговые SQL-инъекции
Издание ZDNet, совместно со специалистами Under the Breach, сообщило об утечке личных данные более 10,6 млн человек, которые останавливались в отелях MGM Resorts. Информация была опубликована на неназванном хакерском форуме на этой неделе. Утечка включает в себя не только информацию об обычных туристах и путешественниках, но также личные и контактные данные знаменитостей, глав крупных компаний, журналистов, правительственных чиновников и сотрудников ряда крупнейших технологических компаний мира.
По данным экспертов, в целом дамп MGM содержит личные данные 10 683 188 бывших гостей отелей. В том числе и такие личные данные, как полные имена, домашние адреса, номера телефонов, email-адреса и даты рождения.
Чтобы проверить подлинность дампа, журналисты связались с экс-постояльцами и подтвердили, что те действительно остановились в отелях MGM, сверили даты их визитов и личные данные. Совпадение подтвердили международные путешественники, журналисты, посещавшие технические конференции, руководители компаний, приезжавшие на деловые встречи, и даже правительственные чиновники.
Проверив данные, исследователи обратились за комментарием к MGM Resorts. Команда MGM Resorts смогла оперативно проверить информацию об утечке и проследить ее до прошлогоднего инцидента с безопасностью. Так, представители сети отелей сообщили, что еще летом 2019 года был выявлен несанкционированный доступ к облачному серверу, который содержал некоторое количество данных о посетителях отелей. В компании подчеркнули, что никаких финансовых и учетных данных среди этой информации не было.
Сеть отелей заявляет, что еще в прошлом году уведомила всех пострадавших в соответствии с действующим законодательством штата, а также привлекла к расследованию случившегося две независимые криминалистические компании, специализирующиеся на киберинцидентах.
Также в MGM Resorts подчеркивают, что дамп содержит довольно старые данные. Журналисты сообщают, что это правда: никто из гостей, с которыми связывалось издание, не останавливался в отелях MGM после 2017 года, а некоторые из телефонных номеров уже были отключены.
Впрочем, утечка данных из MGM Resorts вряд ли может сравниться с самым крупным инцидентом в данной сфере: в 2014 году сеть отелей Marriott допустила утечку данных, затронувшую в общей сложности полмиллиарда человек. Тогда хакеры оставались в системах компании почти четыре года.