Согласно судебным документам, с которыми ознакомился Forbes, подрядчики Marriott были взломаны тем же хакером, который взломал системы регистрации смертей в трех разных штатах.
от Автора: Thomas Brewster Forbes StaffSenior writer at Forbes covering cybercrime, privacy and surveillance.
LightRocket via Getty Images / Хакер взломал сети подрядчиков Marriott, пытаясь получить доступ к базам данных клиентов гостиничного гиганта. Marriott отрицала, что ее системы были взломаны. (Фотоиллюстрация Мигеля Канделы /SOPA Images /LightRocket через Getty Images)LightRocket через Getty Images
Ранее в этом году хакер сообщил ФБР, что продал доступ к персональным данным клиентов отеля Marriott на российском форуме, согласно ордеру на обыск, полученному Forbes. Следователи Министерства юстиции утверждали, что он также взломал ряд государственных агентств по регистрации свидетельств о смерти в США, пытаясь инсценировать свою собственную кончину.
Обвиняемому Джесси Кипфу из Сомерсета, штат Кентукки, в прошлом месяце было предъявлено обвинение во взломе учетных записей сотрудников двух подрядчиков Marriott ранее в этом году: канадского гостиничного интернет-провайдера GuestTek и специалиста по онлайн-маркетингу Milestone. Имея доступ к их внутренним сетям, Кипф сказал, что смог просмотреть личную информацию о клиентах Marriott, и доказательства указывают на то, что он продал доступ к данным на российском онлайн-форуме, известном как Exploit.in , утверждали следователи.
Ни Marriott, ни ее подрядчики публично не сообщали о нарушениях. Представитель Marriott Лайза Рейвенскрофт заявила, что собственные системы компании не были взломаны и что, по ее мнению, “это не повлияло на данные клиентов”. Ни GuestTek, ни Milestone не ответили на запросы о комментариях на момент публикации.
Ранее в этом месяце Министерство юстиции обнародовало обвинительный акт против Кипфа, обвинив его в краже личных данных и взломе систем GuestTek, Milestone и свидетельств о смерти, которыми управляют штаты Аризона, Гавайи и Вермонт. Его адвокат не ответил на запросы о комментариях на момент публикации.
Justice Department/Министерство юстиции утверждает, что обнаружило более 20 водительских удостоверений обвиняемого после того, как ФБР провело обыск в его доме. Он инсценировал собственную смерть, зарегистрировав свою кончину на Гавайях и в Вермонте.Министерство юстиции
Министерство юстиции не уточнило, какие данные клиентов Marriott пострадали в результате взломов, хотя утверждало, что Kipf ранее продавала номера социального страхования и идентификационную информацию онлайн. За последние годы Marriott стала жертвой ряда крупных взломов, наиболее значительных в 2018 году, когда были скомпрометированы данные о 500 миллионах клиентов.
Кипф был пойман после того, как в январе он использовал свой личный IP-адрес для доступа к компьютерным системам департамента здравоохранения штата Гавайи, на которые он зарегистрировал свое собственное свидетельство о смерти, в котором утверждалось, что он умер от проблем с дыханием, связанных с Covid-19, согласно ордеру. Утверждается, что он также продал доступ к системе департамента Гавайев на Exploit.in.
Кипф был арестован в июле. Министерство юстиции сообщило, что в интервью Кипф признался во взломе систем регистрации смертей в Аризоне, Коннектикуте, Гавайях, Теннесси и Вермонте, утверждая, что во всех случаях, кроме Гавайев, он проверял, насколько легко можно взломать серверы.
Однако позже официальные лица штата Вермонт сообщили ФБР, что у них есть запись о смерти Кипфа, созданная в мае 2023 года. Представитель департамента здравоохранения штата Вермонт сообщил Forbes, что, по их мнению, доступ к данным не был получен.
Министерство юстиции не сообщило, как Кипф использовал свой доступ к внутренним системам других департаментов здравоохранения. Агентство Аризоны отказалось от комментариев. Другие государственные департаменты, ответственные за записи о смертях, не ответили на запросы о комментариях на момент публикации. Гавайи ранее публично подтвердили факт нарушения.
В том же интервью Министерству юстиции Кипф сказал, что он был безработным в течение пяти лет и продавал личную информацию людям по всему миру, в том числе в Алжире, Украине и России. Он сказал, что за несколько месяцев до собеседования он получил доступ к системе управления взаимоотношениями с клиентами Marriott и продал доступ россиянам, хотя, согласно ордеру, он не предоставил более подробной информации об их личностях.
Затем он заявил, что имел “доступ ко всем отелям Marriott по всему миру, их веб-сайтам и бэкендам”, заявив, что индийские разработчики, нанятые гостиничным гигантом, “имеют ужасные привычки и повторно используют одни и те же пароли”. Позже Marriott сообщила ФБР, что они видели IP-адрес, который власти связали с Kipf, “пытавшийся получить доступ, посетить и извлечь данные из интернет-доменов и внутренних серверов Marriott с 9 февраля 2023 года по 22 мая 2023 года”, в общей сложности 1423 раза.
“Мы расследовали этот вопрос ранее в этом году, прежде чем с нами связалось ФБР, а затем полностью сотрудничали с расследованием ФБР”, — сказал представитель Marriott Рейвенскрофт в заявлении, отправленном по электронной почте. “Основываясь на нашем расследовании и взаимодействии с поставщиками, нарушений в системах Marriott не было, и мы понимаем, что это никак не повлияло на информацию о клиентах Marriott”. Она добавила: “Любые утверждения о том, что данные или системы Marriott были скомпрометированы, являются ложными”.
“Some of the networks the defendant breached contained personal information of those major hotel chains’ customers.” Department of Justice / “Некоторые из сетей, взломанных ответчиком, содержали личную информацию клиентов этих крупных гостиничных сетей”.
Министерство юстиции
Министерство юстиции не представило никаких доказательств того, что собственные серверы Marriott были взломаны. Однако одной из жертв стала компания GuestTek, которая предоставляет услуги связи ряду отелей Marriott по всему миру, сообщило Министерство юстиции. В феврале ФБР предположило, что IP-адрес, связанный с Kipf, был использован для доступа к онлайн-аккаунту руководителя проекта GuestTek. Согласно ордеру, этот менеджер “имел административный и глобальный доступ ко всем текущим и прошлым клиентам GuestTek”.
Позже, в июне, IP-адрес, связанный с Kipf, был использован для получения доступа к двум учетным записям сотрудников Milestone, маркетинговой компании, которая помогла Marriott запустить ряд ее веб-сайтов. ФБР сообщило, что были скомпрометированы имена пользователей и пароли двух разработчиков Milestone, оба из которых базируются в Индии. Это дало хакеру доступ к серверным системам, управляющим клиентским интерфейсом для бронирования услуг Marriott, согласно ордеру на обыск.
Нарушения также могут затронуть больше гостиничных сетей, чем Marriott. В заявлении, поданном ранее в этом месяце, Министерство юстиции отметило, что у GuestTek и Milestone были разные клиенты в индустрии гостеприимства и что “некоторые из сетей, взломанных ответчиком, содержали личную информацию клиентов этих крупных гостиничных сетей”. Департамент добавил, что проведенное им расследование выявило “потенциально тысячи лиц, чья личная идентифицирующая информация могла быть доступна Кипфу или его клиентам”.
В феврале, примерно в то же время, что и взлом GuestTek, человек, использующий онлайн-псевдоним “FreeRadical”, предлагал “доступ администратора сети к 3,9 тыс. отелей по всему миру” на exploit.in » — сообщило Министерство юстиции. Позже было обнаружено, что тот же человек, которого ФБР считает Кипфом, продавал более 1000 номеров социального страхования американцев в возрасте до 18 лет и более 150 000 номеров социального страхования других граждан США. Этот же псевдоним FreeRadical использовался в январе для продажи доступа к американским системам регистрации смертей и размещения отредактированного свидетельства о смерти в качестве доказательства нарушения. Департамент здравоохранения Гавайев позже смог идентифицировать неотредактированную версию этого документа, обнаружив, что это было собственное свидетельство о смерти Кипфа.
После освобождения под залог ФБР подозревает, что он продолжил заниматься хакерством. Агентство утверждает, что тот же IP-адрес из предыдущих взломов был использован для взлома Origin Physical Therapy, которая оказывает медицинскую помощь 40 миллионам женщин. (Origin не ответил на запрос о комментариях на момент публикации.) ФБР утверждает, что он якобы использовал этот доступ для рассылки “политических и крайне оскорбительных высказываний” клиентам медицинской компании. ФБР утверждало, что один из других онлайн-псевдонимов Kipf также был замечен предлагающим “большое количество кредитных карт Калифорнии, США” на хакерском форуме.
После того, как полиция обыскала дом Кипфа, они нашли 22 водительских удостоверения из множества штатов, от Кентукки до Айдахо, все с его фотографией. Федеральные следователи также обнаружили, что он купил пять канадских золотых монет с кленовым листом стоимостью более 2000 долларов каждая. Неясно, как и почему Кипф пытался инсценировать собственную смерть, хотя одним из возможных объяснений является уклонение от правоохранительных органов.