Η παραβίαση δεδομένων του MGM Resorts, που έλαβε χώρα το 2019, είναι πολύ μεγαλύτερη από ό, τι είχε αρχικά αναφερθεί και πιστεύεται ότι έχει επηρεάσει περισσότερους από 142 εκατομμύρια επισκέπτες του ξενοδοχείου. Τον Φεβρουάριο του 2020 είχε ειπωθεί ότι είχαν επηρεαστεί μόνο 10,6 εκατομμύρια άνθρωποι.
Το νέο εύρημα ήρθε στο φως το Σαββατοκύριακο. Ένας hacker έθεσε προς πώληση τα δεδομένα πελατών της ξενοδοχειακής μονάδας MGM Resorts, διαφημίζοντάς τα σε μια αγορά του dark web. Τα δεδομένα ανήκουν σε 142.479.937 επισκέπτες του ξενοδοχείου και πωλούνται για περίπου 2.900 $.
Ο hacker ισχυρίζεται ότι έλαβε τα δεδομένα του ξενοδοχείου μετά την παραβίαση του DataViper, της υπηρεσίας παρακολούθησης διαρροών δεδομένων, που διαχειρίζεται η εταιρεία ασφαλείας Night Lion Security.
Ο Vinny Troia, ιδρυτής της Night Lion Security, είπε ότι η εταιρεία του δεν είχε ποτέ αντίγραφο της πλήρους βάσης δεδομένων του MGM Resorts και ότι οι hackers προσπαθούν απλώς να καταστρέψουν τη φήμη της εταιρείας του.
MGM Resorts: Ειδοποίησε όλους τους χρήστες που επηρεάζονται
Το MGM Resorts δήλωσε ότι γνώριζε την έκταση την παραβίασης. Η παραβίαση έλαβε χώρα το καλοκαίρι του 2019 όταν ένας hacker απέκτησε πρόσβαση σε έναν από τους cloud servers του ξενοδοχείου και έκλεψε πληροφορίες για παλιότερους πελάτες.
Το MGM Resorts έμαθε για το περιστατικό πέρυσι, αλλά ποτέ δεν δημοσιοποίησε την παραβίαση ασφάλειας. Αρκέστηκε στο να ειδοποιήσει τους πελάτες που επηρεάστηκαν, σύμφωνα με τους τοπικούς νόμους περί κοινοποίησης παραβιάσεων δεδομένων.
Η παραβίαση δεδομένων ήρθε στο φως τον Φεβρουάριο του 2020, όταν τα στοιχεία 10,6 εκατομμυρίων πελατών του ξενοδοχείου βρέθηκαν σε ένα hacking forum. Εκείνη την εποχή, η ξενοδοχειακή μονάδα παραδέχτηκε ότι υπέστη παραβίαση, αλλά δεν αποκάλυψε την έκτασή της.
“Το MGM Resorts γνώριζε το εύρος αυτού του περιστατικού, που είχε αναφερθεί το περασμένο καλοκαίρι, και έχει ήδη αντιμετωπίσει την κατάσταση”, δήλωσε εκπρόσωπος του ξενοδοχείου.
Σύμφωνα με εκπρόσωπο της εταιρείας, “η συντριπτική πλειονότητα των δεδομένων αποτελείται από στοιχεία επικοινωνίας όπως ονόματα, ταχυδρομικές διευθύνσεις και διευθύνσεις ηλεκτρονικού ταχυδρομείου”. Επίσης, περιλαμβάνονται ημερομηνίες γέννησης και οι αριθμοί τηλεφώνου.
Δεν περιλαμβάνονται οικονομικές πληροφορίες, αριθμοί ταυτότητας ή κοινωνικής ασφάλισης και λεπτομέρειες κράτησης (διαμονή σε ξενοδοχείο). Τα 10,6 εκατομμύρια αρχεία χρηστών διέρρευσαν τον Φεβρουάριο και μια νέα παρτίδα εκατομμυρίων δεδομένων κυκλοφόρησε την Κυριακή στο dark web.
Θα μπορούσε να είναι χειρότερη η κατάσταση;
Ωστόσο, τα εκτεθειμένα δεδομένα του MGM Resorts θα μπορούσαν να είναι ακόμη περισσότερα.
Η Irina Nesterovsky, Επικεφαλής Έρευνας στην εταιρεία KELA, δήλωσε τον Φεβρουάριο ότι τα δεδομένα του MGM κυκλοφορούν και πωλούνται σε hacking forums από τον Ιούλιο του 2019.