Singapur’daki prestijli Marina Bay Sands (MBS) tatil kompleksi, 650.000 üyenin verilerinin ele geçirildiği Sands LifeStyle sadakat programının ciddi bir şekilde ihlal edilmesinin ardından siber suçluların kurbanı olan son büyük konaklama işletmesi haline geldi.
Kendini Asya’nın “önde gelen iş, eğlence ve eğlence destinasyonu” olarak tanımlayan MBS, 2.200 oda ve süiti, dünyaca ünlü sonsuzluk havuzunun yanı sıra kumarhanesi, lüks alışveriş merkezi, kongre ve sergi merkeziyle Singapur’un en büyük otelini işletmektedir. bir sanat ve bilim müzesi.
Çatı bahçesi aynı zamanda BBC realite şovunun ilk sezonundaki yarışmacılar için bitiş çizgisiydi. Dünya Çapında Yarış.
Tesisin sahibi ve işletmecisi, Las Vegas’taki The Venetian tatil köyünün ve Çin’in Makao kentindeki diğer mülklerin geliştiricisi Sands’tir.
İhlal ilk olarak 20 Ekim’de tespit edildi ve bir gün önce adı açıklanmayan bir üçüncü tarafın firmanın sistemlerine yetkisiz erişim sağlamasıyla başladı.
“Olayın fark edilmesi üzerine ekiplerimiz derhal harekete geçti. MBS, yaptığı açıklamada, o zamandan bu yana yapılan soruşturmalarda, bilinmeyen bir üçüncü tarafın kumarhane dışı yaklaşık 665.000 ödül programı üyesinin müşteri verilerine eriştiğini belirledi.
“Araştırmamıza göre, bugüne kadar yetkisiz üçüncü tarafın verileri müşterilere zarar verecek şekilde kötüye kullandığına dair bir kanıtımız yok.
“Casino ödül programımız Sands Rewards Club’ın üyelik verilerinin etkilendiğine inanmıyoruz.
Kuruluş, “Sorunu öğrendikten sonra hızla bir soruşturma başlattık, önde gelen bir dış siber güvenlik firmasıyla birlikte çalıştık ve sistemlerimizi daha da güçlendirmek ve verileri korumak için harekete geçtik” dedi.
Ele geçirilen verilerin isimleri, e-posta adreslerini, cep telefonu ve sabit hat numaralarını, ikamet edilen ülkeleri, üyelik numaralarını ve statü durumunu içerdiği anlaşılmaktadır. MBS etkilenenlere ulaşıyor.
“[We] Bu olayın neden olduğu rahatsızlıktan dolayı içtenlikle özür dileriz. Firma, durumu Singapur’daki ve diğer ülkelerdeki ilgili yetkililere bildirdik ve konuyla ilgili soruşturmalarında onlarla birlikte çalışıyoruz” dedi.
Konaklama tedarikçileri risk altında
Olayın fidye yazılımı veya gasp içermemesine ve bu sonbaharın başlarında Las Vegas’taki iki tatil yeri ve kumarhane işletmecisine yapılan ikiz saldırılarla ilgisi olmamasına rağmen, olay, konaklama ve eğlence sektörlerinin siber suçlular için siber suçlulara ne kadar çekici hedefler sunduğunu bir kez daha ortaya koydu. misafirleri hakkında tuttukları veriler.
İhlal ve saldırı simülasyonu konusunda uzmanlaşmış AttackIQ rakip araştırma ekibinin bölüm lideri Andrew Costis, “Hassas müşteri bilgileriyle ilgilenen konaklama ve eğlence sektöründeki kuruluşların, verilerini tehdit bilgisine sahip bir savunma sistemiyle korumaları gerekiyor” dedi.
Costis, “Tehdit aktörlerinin yararlanabileceği boşlukları ortaya çıkarmak için mevcut kontrollerin sürekli değerlendirilmesi önemli olsa da, daha proaktif bir yaklaşım benimsemek zorunludur” diye ekledi. “Ortak tehdit aktörleri tarafından kullanılan ortak taktik, teknik ve prosedürlerin incelenmesi, kuruluşların siber savunmalarını test etmelerine, daha dayanıklı bir güvenlik tespit, önleme ve müdahale programı oluşturmalarına olanak tanıyacak.”
Active Directory koruması uzmanı Semperis’in baş teknoloji uzmanı Sean Deuby şunları ekledi: “[The] Las Vegas merkezli MGM ve Caesars’a yapılan son saldırıların yanı sıra, Singapur merkezli Marina Bay Sands oteli ve kumarhanesini kapsayan bir veri ihlalinin açığa çıkması, tüm otel ve kumarhane endüstrisini tedirgin etti.
“Bu son ihlaldeki olumlu nokta, bilgisayar korsanlarının kişisel olarak tanımlanabilir bilgilerin taç mücevherlerini alıp gitmiş gibi görünmemesidir [PII] sosyal güvenlik numaraları ve kredi kartı verileri gibi,” dedi Deuby, Computer Weekly’ye e-postayla gönderilen yorumlarda. “Ancak, diğer kişisel bilgileri çalarak saldırganların önümüzdeki haftalarda başka sosyal mühendislik tabanlı saldırılar ve kimlik avı dolandırıcılıkları gerçekleştirmesi veya verileri karanlık ağda en yüksek teklifi verenlere satması ihtimali yüksek.”