Non è semplice presentarsi alle autorità e ammettere che qualcuno ci ha sottratto dati su potenzialmente mezzo miliardo di clienti, restando indisturbato nella nostra rete per quattro anni. Ha dovuto farlo la catena alberghiera Marriott, che un paio di settimane fa ha ufficializzato alla SEC statunitense quella che ricorderemo come la seconda violazione più grave nella storia della sicurezza IT. Almeno per ora. Le indagini sull'accaduto vanno avanti, ma a bocce relativamente ferme si può ora fare un punto della situazione abbastanza preciso su cosa sia accaduto. E trarne, possibilmente, indicazioni su come non cadere negli stessi errori.

Che cosa è successo?

Il 30 novembre scorso la catena alberghiera Marriott ha comunicato ufficialmente di aver rilevato una violazione dei suoi database, in particolare di quello che contiene i dati relativi alle prenotazioni dei clienti Starwood. Il primo segnale della violazione risale al 8 settembre scorso, quando qualcuno ha tentato di accedere in modo non autorizzato al database. Partendo da questo indizio, le indagini degli esperti di sicurezza messi in campo da Marriott hanno concluso che qualcuno era penetrato nei sistemi già dal lontano 2014.

Da quello che descrive Marriott si conclude che l'azienda ha trovato in circolazione sul Dark Web parte dei dati che erano conservato nei suoi database. Li ha recuperati e ha iniziato a decriptarli, dato che erano distribuiti protetti da cifratura. Lo scorso 19 novembre ha completato la decifratura e ha visto così confermata la violazione al database delle prenotazioni.

Chi è coinvolto?

Potenzialmente, tutti quelli che si sono registrati nei database effettuando una prenotazione Starwood prima dello scorso 10 settembre. Marriott stima che si tratti di circa 500 milioni di persone e per una buona parte di esse (circa 327 milioni) è confermato che le informazioni sottratte comprendono (del tutto o in parte) nome, indirizzo, email, numero di telefono, numero del passaporto, codice Starwood Preferred Guest, data di nascita, sesso, date del soggiorno.

Il problema vero è che tra i dati sottratti ci sono anche quelli delle carte di credito, che erano stati cifrati dai sistemi Marriott ma la cui chiave di cifratura potrebbe essere stata ugualmente sottratta.

Il numero delle persone coinvolte è molto elevato perché i criminali informatici hanno avuto accesso alla rete Marriott per anni e perché al marchio Starwood fanno capo molte catene di alberghi diffusi in tutto il mondo. Solo per citare le principali: W Hotels, St. Regis, Sheraton, Westin, Element, Aloft, Le Méridien.

Cosa ha causato la falla nella rete?

Con precisione non è stato indicato, ma tutti gli esperti e osservatori puntano il dito verso la combinazione poco riuscita dei sistemi IT di Marriott e Starwood. I due brand si sono fusi alla fine del 2016 ma hanno continuato a gestire molte funzioni - evidentemente anche le prenotazioni - con sistemi distinti. Non a caso ora Marriott indica che sta "allocando le risorse necessarie per eliminare i sistemi Starwood e accelerare i potenziamenti in corso alla sicurezza della rete".

Anche il fatto che i criminali si siano infiltrati nella rete già nel 2014 lascia intendere che la vulnerabilità è attribuibile ai sistemi Starwood. Ma questo non evita il danno a Marriott e anzi lo amplifica: se la rete Starwood era stata violata prima della fusione con Marriott vuol dire che nelle fasi di "due diligence" dell'operazione - che è durata circa un anno - nessuno se n'è accorto. O peggio, nessuno ha pensato di fare un auditing approfondito sulla sicurezza IT dell'azienda.

Come sapere se si è personalmente coinvolti?

Non ci sono molti strumenti a disposizione, in effetti. Le persone coinvolte dovrebbero tutte ricevere una email di allerta dall'indirizzo starwoodhotels@email-marriott.com, man mano che Marriott va avanti nel comprendere chi è stato effettivamente colpito. Ma attenzione: ora è assai probabile che questo indirizzo di email sarà usato, leggermente modificato, per operazioni di phishing mirato.

Marriott ha anche attivato un sito web informativo e un call center a cui rivolgersi. Il numero per l'Italia è 800-728-023.

La falla di Marriott è una violazione del GDPR?

La catena alberghiera ovviamente questo non lo ha indicato, ma è molto probabile. Contro Marriott giocano la gravità dell'evento (è la seconda falla nella storia dopo quella di Yahoo), la durata della violazione della rete (diversi anni) e la comunicazione pubblica non immediata alle autorità. Se la falla è stata confermata il 18 novembre, perché la comunicazione alla SEC statunitense è solo del 30?

Ovviamente, però, non sappiamo se Marriott abbia coinvolto le autorità non pubblicamente ma comunque nei modi e nei tempi previsti dalle normative. In ogni caso le prime cause contro Marriott sono già partite.

Chi è stato a rubare i dati?

Non si sa, per ora. Circola l'ipotesi che l'infiltrazione nella rete Starwood sia ad opera di hacker ostili cinesi. Lo indicherebbero, secondo alcune fonti Reuters, le tracce lasciate sui metodi di infiltrazione adottati e sugli strumenti usati. In parte sarebbe anche una notizia positiva, perché una infiltrazione di così lunga durata ad opera della Cina dovrebbe essere legata non a motivi economici diretti ma a operazioni di spionaggio.

Meno rischi per le carte di credito, in sostanza, e più per le informazioni personali. Anche se poi il fatto che i dati sottratti siano stati messi in circolazione sul Dark Web indica che il rischio di sfruttamento economico resta elevato.