Otel yönetim platformu Otelier, tehdit aktörlerinin Amazon S3 bulut depolama alanını ihlal ederek milyonlarca misafirin kişisel bilgilerini ve Marriott, Hilton ve Hyatt gibi tanınmış otel markalarının rezervasyonlarını çalmasının ardından veri ihlali yaşadı.
İddiaya göre ihlal ilk olarak Temmuz 2024’te gerçekleşti ve tehdit aktörleri Otelier’in Amazon AWS S3 klasörlerinden 7 TB veri çaldıklarını iddia etti ve erişim Ekim ayına kadar devam etti.
BleepingComputer’a yaptığı açıklamada Otelier, bir ihlale maruz kaldığını doğruladı ve etkilenen müşterilerle iletişim halinde olduğunu söyledi.
Otelier, BleepingComputer’a şunları söyledi: “Birinci önceliğimiz, gelecekteki sorunları önlemek için sistemlerimizin güvenliğini artırırken müşterilerimizi korumaktır.”
“Otelier, bilgileri potansiyel olarak olaya karışan müşterileriyle iletişim halindeydi. Bu olaya yanıt olarak, kapsamlı bir adli analiz gerçekleştirmek ve sistemlerimizi doğrulamak için önde gelen siber güvenlik uzmanlarından oluşan bir ekip kiraladık.”
“Soruşturma, yetkisiz erişimin sonlandırıldığını belirledi. Benzer bir olayın gelecekte yaşanmasını önlemek amacıyla Otelier, söz konusu hesapları devre dışı bıraktı ve siber güvenlik protokollerini geliştirmek için çalışmaya devam ediyor.”
Daha önce MyDigitalOffice olarak bilinen Otelier, dünya çapında 10.000’den fazla otel tarafından rezervasyonları, işlemleri, gecelik raporları ve faturalamayı yönetmek için kullanılan bulut tabanlı bir otel yönetimi çözümüdür.
Şirket, çalınan bilgilerde verileri bulunan Marriott, Hilton ve Hyatt gibi birçok tanınmış otel markası tarafından kullanılıyor veya kullanılıyor.
Çalınan kimlik bilgileri yoluyla ihlal edildi
Otelier ihlalinin arkasındaki tehdit aktörleri, BleepingComputer’a, başlangıçta bir çalışanın kimlik bilgilerini kullanarak şirketin Atlassian sunucusunu ihlal ettiklerini söyledi. Bu kimlik bilgileri, son birkaç yıldır kurumsal ağların baş belası haline gelen, bilgi çalan kötü amaçlı yazılımlar aracılığıyla çalındı.
BleepingComputer, Otelier’den ihlalin bu şekilde olup olmadığını doğrulamasını istediğinde, olayla ilgili daha fazla yorum yapabileceklerini söylediler. Ancak BleepingComputer, Flare tehdit istihbaratı platformunda Otelier çalışanlarının daha önce bilgi hırsızlarından etkilendiğini tespit etti.
Tehdit aktörleri, bu kimlik bilgilerini, şirketin S3 klasörlerine ilişkin ek kimlik bilgileri içeren biletleri ve diğer verileri kazımak için kullandıklarını söylüyor.
Bilgisayar korsanları, bu erişimi kullanarak şirketin Amazon S3’ünden, Otelier tarafından yönetilen S3 klasörlerinde bulunan Marriott’a ait milyonlarca belge de dahil olmak üzere 7,8 TB veri indirdiklerini iddia etti. Bu belgeler gecelik otel raporlarını, vardiya denetimlerini ve muhasebe verilerini içerir.
Marriott, BleepingComputer’a Otelier’in siber saldırısının kendilerini etkilediğini ve Otelier’in soruşturmasını tamamlarken otomatik hizmetlerin askıya alındığını doğruladı. Şirket, bu saldırıda hiçbir sisteminin ihlal edilmediğini vurguluyor.
Bir Marriott sözcüsü, “Otelier’in dahil olduğu bu olaydan haberdar olduğumuzda, çok sayıda otel şirketiyle çalışan satıcıyla hemen iletişime geçtik ve sistemlerini etkileyen bir güvenlik olayını araştırmak için siber güvenlik uzmanlarıyla birlikte çalıştıklarını doğruladık” dedi. BleepingComputer.
“Marriott, Otelier tarafından sağlanan otomatik hizmetlerin soruşturma tamamlanana kadar askıya alınması da dahil olmak üzere uygun önlemleri aldı ve bu hizmetler askıya alınmaya devam edecek.”
Tehdit aktörleri, S3 kovalarının kendilerine ait olduğunu düşünerek, verilerin sızmaması için kripto para birimiyle ödeme talep eden fidye notları bırakarak Marriott’u şantaj yapmaya çalıştıklarını söylüyor. Ancak hiçbir iletişim yapılmadı ve Eylül ayında kimlik bilgilerinin değiştirilmesinin ardından erişimi kaybettiklerini söylediler.
Marriott, BleepingComputer’a, ihlalde hassas bilgilerin çalındığına dair hiçbir belirti olmadığını söylerken, BleepingComputer ve Have I Been Pwned’in Troy Hunt’ı ile paylaşılan çalınan veri örnekleri farklı bir tablo çiziyor.
BleepingComputer tarafından görülen küçük örnekler, otel misafir rezervasyonları, işlemler, çalışan e-postaları ve diğer dahili veriler dahil olmak üzere geniş bir veri yelpazesini içeriyor.
Açığa çıkan bazı kişisel bilgiler arasında otel konuklarının adları, adresleri, telefon numaraları ve e-posta adresleri yer almaktadır.
Çalınan veriler aynı zamanda Hyatt, Hilton ve Wyndham’ın bilgilerini ve e-postalarını da içeriyor. BleepingComputer, ihlalle ilgili olarak Hyatt ve Hilton ile temasa geçti ancak bir yanıt alamadı.
Hunt, BleepingComputer’a aldığı verilerin çok daha kapsamlı olduğunu, rezervasyon tablosunun 39 milyon satır ve kullanıcı tablosunun 212 milyon satır içerdiğini söylüyor.
Hunt, bu verilerden 1,3 milyon benzersiz e-posta adresi bulunduğunu ve birçoğunun tekrarlandığını söylüyor.
Açığa çıkan kişisel bilgiler Have I Been Pwned’e ekleniyor ve böylece herkesin e-posta adresinin açığa çıkan verilerde olup olmadığını kontrol etmesine olanak sağlanıyor.
İyi haber şu ki, saldırı sırasında şifreler ve fatura bilgileri çalınmış gibi görünmüyor ancak tehdit aktörleri bu bilgileri hedefli kimlik avı saldırılarında kullanmaya devam edebilir.
Bu nedenle, bu ihlalden etkilenen otel markalarını taklit eden şüpheli e-postalara karşı dikkatli olmalısınız.