Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Hotelketen Marriott meldt diefstal gegevens van half miljard klanten

De Amerikaanse hotelketen Marriott heeft ontdekt dat criminelen een database van reserveringen bij dochterbedrijf Starwood gestolen hebben. Daarmee zijn de gegevens van 500 miljoen klanten op straat komen te liggen, waaronder voor een deel creditcardinformatie.

Marriott International meldt op 8 september een notificatie te hebben gekregen van een beveiligingstool, dat een onbevoegde probeerde om zijn database van klantreserveringen bij zijn dochterketen Starwood binnen te dringen. Na onderzoek bleken criminelen al sinds 2014 toegang te hebben tot die database.

Bovendien ondervond de hotelketen dat recent een groot versleuteld bestand was doorgesluisd. Op 19 november bleek, na de encryptie ongedaan gemaakt te hebben, dat het om de Starwood-database ging. Marriott denkt dat de gegevens van een half miljard gasten daarmee zijn gestolen.

Van 327 miljoen gebruikers betreft het onder andere de naam, adres, e-mailadres, telefoonnummer, paspoortnummer, geboortedatum, geslacht en informatie over het verblijf zoals aankomst en vertrek. Van 'sommigen' zijn ook creditcardgegevens in handen van criminelen, waaronder de vervaldatum. Volgens Marriott zijn de creditcardnummers met AES-128 versleuteld. Het bedrijf meldt niet van hoeveel personen de creditcardgegevens ontvreemd zijn.

De keten is begonnen klanten via e-mail te waarschuwen en heeft een helddesk en informatiepagina opgezet voor klanten met vragen.

Het gaat om een van de grootste datalekken tot nu toe. In 2013 meldde Yahoo dat een datalek een miljard accounts betrof, maar vorig jaar bleek dat het om meer dan drie miljard acounts ging.

Door Olaf van Miltenburg

Nieuwscoördinator

30-11-2018 • 13:29

127 Linkedin Google+

Reacties (127)

Wijzig sortering
Voor wie te lui is om zelf het lijstje van Starwood hotelketens op te zoeken op wiki:
  • Westin
  • Sheraton
  • The Luxury Collection
  • Four Points by Sheraton
  • W Hotels
  • St. Regis
  • Le Méridien
  • Aloft
  • Element
  • Tribute Portfolio
  • Design Hotels
Marriott heeft in 2015 de Starwood groep gekocht, pas in september dit jaar zijn alle reserverings en loyaliteits systemen van Marriott, SPG en Ritz-Carlton gemerged. Dit lek zat in het oude SPG systeem, vandaar dat er waarschijnlijk geen data is gelekt van Marriott hotels zoals Courtyard die jij noemt.
Half miljard klanten, dat is nogal wat. :o Tevens een flinke database dan. Dit is wederom een reden waarom ik niet graag en probeer te weigeren mijn paspoort af te geven bij Hotels. Snap niet waarom ze die nodig zouden hebben. Mijn ID/Rijbewijs/Paspoort mogen 'zien', prima. Maar het overnemen van info of kopie maken vind ik de grootste onzin en zou verboden moeten zijn.

[Reactie gewijzigd door slijkie op 30 november 2018 13:32]

Wanneer hotels vragen om een kopie kun je bijv. dit hoesje van de ANWB om je paspoort heen vouwen, zodat niet zomaar al je informatie meer bij dat hotel terechtkomt. https://webwinkel.anwb.nl/webwinkel/rfid-cover-paspoort.html
In Duitsland worden die hoesjes helaas verwijderd of je het nou wilt of niet. Ik heb hier diverse keren al bij een hotel een discussie over gehad.

[Reactie gewijzigd door BladeSlayer1000 op 30 november 2018 13:51]

Dat mág helemaal niet.
Dus dat kan zo zijn, maar ik zou ze gewoon aangeven.
Je bent als individu ook tot op een zekere hoogte verantwoordelijk voor je legitimatiebewijs, dus als zij gegevens gaan zitten kopieren waar ik ze niet expliciet een OK voor geef of gegevens die ze domweg niet nodig hebben (zoals je sofi nummer) hebben ze toch wel een uitdaging.

En zoals choogen opmerkt is dit fenomeen vooral in Duitsland grappig want daar hebben ze normaal het meest op met privacy.
Zie zo ook de huidige staat van bijvoorbeeld Google Street View in Duitsland.

[Reactie gewijzigd door Koffiebarbaar op 30 november 2018 13:57]

Dat mág helemaal niet.
De vraag is natuurlijk of de Nederlandse wetgeving nog enige relevantie heeft in het buitenland.
Dit is europees bepaald, ik doel op de GDPR.

[Reactie gewijzigd door Koffiebarbaar op 30 november 2018 18:25]

Dan nog, als er een Duitse wet is die zegt dat een hotelier een kopie moet maken van een paspoort dan staat de GDPR buitenspel (want een wettelijke grond).
De prive regels van Duitsland stel ik altijd zeer op prijs. Maar helaas heb ik dit al diverse keren meegemaakt met hotels van de Accorhotels.

Zoals ik al vermelde in een reactie naar choogen maak ik gebruik van de kopieID app, en maak daarvan een printout. Dat wordt wel geaccepteerd een hoesje eromheen zoals die van de ANWB wordt niet geaccepteerd..
Tsja, makkelijk gezegd. Wacht maar toch je in de rij staat met nog 3 anderen achter je en je vrouw met jengelende kinderen ernaast... (en ja het blijft je eigen verantwoordelijkheid :+)

Resultaat: dan maar 1 kopie... en da's er dan 1 teveel
Ja ik laat me niet zo opjagen door een rij mensen achter me, niet in een hotel, niet in het verkeer en ook niet in bijvoorbeeld de supermarkt bij de kassa als ik mijn boodschappen in pak op mijn eigen tempo zodat beetje deftig ingepakte tas boodschappen heb. Men kan immers ook gewoon met hun ellende naar de zelfscan en in een halve minuut buiten staan als ze doodgaan van 30 seconden wachten.

Ik snap dat mensen dat sociaal gezien moeilijk kunnen vinden maar mensen moeten ook maar gewoon een tandje afschakelen zo links en rechts.

[Reactie gewijzigd door Koffiebarbaar op 30 november 2018 15:16]

In Spanje ook... Bij vrijwel alle hotels.
´Het moet van de politie´
In Spanje ook... Bij vrijwel alle hotels.
´Het moet van de politie´
Laatst met bedrijf nog in Spanje geweest. Afgeschermde, gewatermerkte kopie volstond gewoon.
Klopt. Ze moeten een register bijhouden van gasten en die gegevens dagelijks doorgeven via een webportaal. Dit met oog op terrorismebestrijding (ze kunnen makkelijk achterhalen waar persoon X verblijft).

De makkelijke manier is dus inderdaad gewoon elk paspoort scannen en 's nachts verwerken, want je moet ze in batch doorgeven. Maar een kopie'tje voldoet dus ook.

Gegevens die nodig zijn voor de politie: paspoortnummer/documentnummer, geboortedatum, land van uitgifte, nationaliteit, voornaam en familienamen.

Bron: heb zelf een jaar in een hostel gewerkt in Barcelona en mocht elke nacht alle kopietjes ingeven in het systeem. Let wel, mijn info stamt af uit 2013, inmiddels kan het anders zijn.
Gegevens die nodig zijn voor de politie: paspoortnummer/documentnummer, geboortedatum, land van uitgifte, nationaliteit, voornaam en familienamen.
Sterker nog:
enkel documentnummer + land van uitgifte zou toereikend moeten zijn. De lokale autoriteiten en die van het land van uitgifte kunnen onderling de verdere informatie over een document uitwisselen. Alle andere gegevens zijn eigenlijk alleen nodig voor extra controle, in het geval een document nummer bijv. verkeerd verwerkt wordt en de foute gegevens doorgegeven worden.
Ik som ook alleen maar op welke informatie er online werd vereist door het portaal. Uiteraard is dit om fouten op te vangen, want waar mensen gegevens invullen kunnen fouten ontstaan (0 of O, 1 of I of l, etc).
Dat verbaast me, want juist in Duitsland gaat men veel voorzichtiger met privacy aspecten om dan in andere Europese landen. Het belang dat de Duitsers aan privacy hechten komt mede door de praktijken van de Stasi in Oost-Duitsland destijds.
Dat idee had ik dus ook. Sinds een tijd maak ik gebruik van de kopieID app, en maak daarvan een printout. Dat wordt wel geaccepteerd een hoesje eromheen zoals die van de ANWB wordt niet geaccepteerd
Dat hoesje maakt ook wel een beetje onmogelijk om te zien of het een echt paspoort of een fantasie paspoort is. Daarin snap ik het hotel ook wel.
Het hotel kan zich er nog steeds van vergewissen dat het om een echt paspoort gaat door het hoesje er even af te trekken. Punt is dat zodra ze een kopie maken (hoesje er weer omheen) bepaalde informatie zoals pasfoto en BSN nummer niet automatisch mee wordt gekopieerd.
In Nederland zijn er regels wie wat mag verwerken en mag vragen.
Kopie paspoort en zelf nummer opslaan is voorbehouden aan beperkt aantal bedrijven/instanties.

Vraag me dus af of ze deze informatie in Nederland ook opslaan en over dat dus mag.
Totdat je in het buitenland te horen krijgt dat je mag vertrekken met je mooie hoesje.

Er zijn maar weinig mensen die na een lange reis in verzet komen. En dat is als verzet al mogelijk is. In veel landen buiten de EU hebben is een kopie simpelweg verplicht.

Het echte probleem is dat je belangrijke zaken kunt regelen zonder het fysieke paspoort te overleggen. Dat zou gewoon niet moeten kunnen.
Is officieel ook verboden, tenminste, in NL.
Nope.

Financiële instellingen, hotels en een aantal andere bedrijven mogen een kopie van jouw paspoort eisen.

Als je je BSN nummer afdekt is er ook niets aan de hand :)

Edit @ hieronder: Ik sta gecorrigeerd :)
Ik doelde ook meer in zijn algemeenheid dat bepaalde instanties dus wel om een kopie mogen vragen, en sommigen kunnen het eisen.

[Reactie gewijzigd door Nyarlathotep op 30 november 2018 14:37]

Klopt niet.

Een citaat uit je eigen link:
Sommige bedrijven en organisaties zijn wettelijk verplicht een aantal gegevens van uw identiteitsbewijs over te nemen. De school of uw zorgverlener bijvoorbeeld. En het hotel en de camping waar u wilt overnachten. Uw ID-bewijs of een kopie afgeven is dan niet nodig. Het soort legitimatiebewijs en het nummer ervan laten opschrijven is voldoende. Bijvoorbeeld: ‘Paspoort, NWLFR3706.’
je quote een goede bron alleen daar staat nergens hotels in vermeld. Dus hotels mogen jouw BSN helemaal niet opeisen zoals al meermaals gemeld is.

RVO Website
" Welke organisaties mogen een kopie van mijn identiteitsbewijs maken?

Slechts enkele organisaties mogen een kopie van uw identiteitsbewijs maken. Uw werkgever en banken mogen dit bijvoorbeeld. In de praktijk vragen ook andere organisaties een kopie van uw legitimatiebewijs. U bent niet verplicht om die aan hen te geven. Voor sommige is registratie van enkele gegevens voldoende."
Daar staat zeker wel iets vermeld betreft hotels, maar duidelijk dat een kopie afgeven niet verplicht is of dat een BSN nodig is.
Onder kopje: Documentnummer overnemen uit identiteitsbewijs

[Reactie gewijzigd door chriistiix op 30 november 2018 14:34]

Wel even goed lezen:
Sommige bedrijven en organisaties zijn wettelijk verplicht een aantal gegevens van uw identiteitsbewijs over te nemen. De school of uw zorgverlener bijvoorbeeld. En het hotel en de camping waar u wilt overnachten. Uw ID-bewijs of een kopie afgeven, is dan niet nodig. Het soort legitimatiebewijs en het nummer ervan laten opschrijven is voldoende. Bijvoorbeeld: ‘Paspoort, NWLFR3706.’ Welke instanties identiteitsgegevens mogen registreren, leest u op de website van de Autoriteit persoonsgegevens.
Ze mogen dus geen kopie van jouw paspoort eisen.

Op Autoriteit persoongegevens staat het nog duidelijker:
Mag een hotel of camping een kopie van mijn identiteitsbewijs maken?
Nee, dat mag niet. Maar de eigenaar of medewerker van een hotel of camping mag wel een aantal gegevens van u noteren, onder meer van uw identiteitsbewijs (zoals uw paspoort of identiteitskaart).

[Reactie gewijzigd door chriistiix op 30 november 2018 14:32]

Onjuist. Het is wettelijk verplicht om een register bij te houden van je gasten en hub identiteit te verifieren aan de hand van een legitimatiebewijs. Daar moeten een aantal zaken instaan maar je BSN vastleggen is In Nederland niet toegestaan.

[Reactie gewijzigd door burne op 30 november 2018 15:05]

Maar identiteit verifiëren betekent niet kopie paspoort/ID. Zeker als daarop je BSN staat is het verboden, behalve voor (semi)-overheidsinstanties die in het kader van hun wettelijke taak dat BSN moeten hebben (denk aan UWV).
Zij moeten aan de hand van mijn ID kunnen bepalen dat ik zeg wie ik beweer te zijn. En als ik mijn ID of paspoort toon kunnen zij die controle doen. Meer is niet nodig.

[Reactie gewijzigd door Madden op 30 november 2018 14:24]

Als je geen rijbewijs hebt is het laten inzien van je paspoort/ID-kaart de enige manier waarop je je kunt legitimeren.

Het bijhouden van een nachtregister is een wettelijke plicht. Wetboek van Strafrecht artikel 438 stelt je een maand cel in het vooruitzicht als je mensen laat overnachten in een hotel, pension, tent, caravan, camper of boot en geen nachtregister bijhoudt. En als gast moet je paspoort/ID-kaart (of rijbewijs, als je dat hebt) laten zien. Doe je dat niet dan moet de hotelier/beheerder/uitbater je weigeren als gast.
Uit eigen ervaring; sprekend vanuit de wettelijke verplichtingen in Nederland. Hotels zijn verplicht de identiteit van hotelgasten te verifiëren. De kern zit hem in het woord verifiëren.
Het is niet toegestaan om kopieën van legitimatiebewijzen op te slaan. Echter om te controle te kunnen aantonen dient het document nummer geregistreerd te worden, dit is NIET het BSN nummer.

Een aanvullende kanttekening; enkel de gegevens van (meestal) de boeker dienen geregistreerd te worden. Er wordt nergens gesproken over de registratie van meereizen gezelschap.
Ik noem zelfs het wetsartikel wat je die plicht oplegt, dus waarom reageer je?

En doe het dan goed: over meereizend gezelschap wordt wel gesproken: 438 lid 3:

"Op nachtverblijf, verschaft aan meereizende echtgenoten, minderjarige kinderen of aan reisgezelschappen, is het voorgaande niet van toepassing."
Bron vermelding voor mensen die iets meer willen lezen:
http://www.wetboek-online.nl/wet/Sr/438.html
.. als gast moet je paspoort/ID-kaart (of rijbewijs laten zien.
Laten zien. Ik houd het vast en hij kijkt en leest.
Ik kan het vanuit een control-freak management-optiek wel zien hoor:

"Hoe gaan we zorgen dat het niet-te-vertrouwen personeel van ons hotel de regels netjes naleeft mbt. registratie van gasten (waar een heftige boete op staat als die niet juist is)?"

"Ik weet het! We laten ze gewoon het paspoort kopiëren, en slaan die kopie dan op bij de boeking. Dan kunnen we in ieder geval aantonen dat iemand met dat paspoort bij ons geweest is."
Dat is een onjuiste weergave van zaken door een onjuiste interpretatie van de wetgeving en het niet doen van huiswerk.

De wet stelt expliciet dat persoonsgegevens alleen vast mogen worden gelegd wanneer daar noodzaak voor is. Jouw omschrijving laat overduidelijk zien dat hiervan geenszins sprake is. Het vastleggen in een register en het vaststellen van een identiteit kan namelijk geheel zonder kopie van het identiteitsbewijs. Wanneer je een reservering doet is het voldoende om bijv. n.a.w. gegevens te noteren. Identiteit kan aan de balie worden vastgesteld door het tonen van een identiteitsbewijs. Het maken van een kopie en deze opslaan is nergens voor nodig en daarom ook verboden.

Had je allemaal kunnen opzoeken bij de Autoriteit Persoonsgegevens die destijds nog het College Bescherming Persoonsgegevens (afgekort: CBP) heette. Zij hebben toen bovenstaande redenatie gegeven als reden waarom "een kopietje paspoort" niet mag (en dat betreft het gehele document, niet alleen de BSN). Inmiddels is dit ingehaald door de GDPR. Daardoor geldt inmiddels ook in andere EU lidstaten een strengere regelgeving op dit vlak. En dat sorteert effect: AP: Airbnb beëindigt verwerking BSN.

Hoe dan ook, uiteindelijk ben je wel gebonden aan de wet- en regelgeving van het land waar het hotel zich bevindt maar ook aan die waar het bedrijf gevestigd is. Dat maakt het allemaal heel wat complexer, vooral wanneer je tegenstrijdige regels hebt.

[Reactie gewijzigd door ppl op 30 november 2018 14:44]

Dat is een onjuiste weergave van zaken door een onjuiste interpretatie van de wetgeving en het niet doen van huiswerk.
Google maar even, voordat je gaat blaten. Artikel 438 WvS. En ik zeg nergens op welke wijze dan ook dat je moet toestaan dat iemand een kopie van je paspoort maakt.
Verifiëren is niet hetzelfde als kopiëren.

Bij verificatie kijk je of degene met dit paspoort degene is die heeft geboekt. Kijk naar de foto, klaar. De kopie is illegaal.
Kan me nog herinneren dat een uitzendburo je SoFi-nummer, wat nu BSN heet, gewoon als personeelnummer gebruikte! 8)7

Ik ben ook zo'n "nerd" dat ik het nummer al jaren uit mijn hoofd ken, en dus herken.
Dat kan. Maar als je stug weigert je gegevens te geven, zal je het in heel wat landen heel moeilijk krijgen om een fatsoenlijke slaapplek te vinden.

Met andere woorden: mijn gegevens staan bijna zeker ook in deze dataset ;(

Edit ter aanvulling: Hotels zijn dit overigens in veel landen wettelijk verplicht. De Nederlandse wet mag wel zeggen dat het niet mag, maar de wet ter plaatse zegt dat het moet. Dus zo'n hoteleigenaar heeft weinig boodschap aan de Nederlandse wet, die volgt de wetten van zijn eigen land. Als gast zal je je ook moeten schikken naar de wetten van het land waar je bent.

[Reactie gewijzigd door Lapa op 30 november 2018 14:05]

i.p.v je paspoort geef je je rijbewijs of id kaart .
daarnaast heb je online al geboekt is er al een reservering en meestal al betaald met creditcard
Je hebt er niet zoveel aan om dan je rijbewijs of id kaart te geven. Meestal kan je met een kopie daarvan exact hetzelfde als met een kopie van je paspoort, en dus kan een kwaadwillende er ook hetzelfde mee doen.
Helaas maar waar...
Ik vind het ook onzin....maar ja...probeer in het buitenland maar eens een hotelkamer of vakantiehuis of camping te boeken. Zonder kopie ID sturen ze je gewoon weg. Die insteekhoesjes over je ID bewijs om BSN etc te verwijderen worden ALTIJD verwijderd, niks te maken met uitleg id fraude. Ben benieuwd of dat met de GDPR hier in Europa beter gaat worden.
Al een aantal keer in het buitenland uitgelegd dat "my government forbids me to lend out my passport" en dat klinkt tot nu toe serieus genoeg voor de andere kant van de balie om genoegen te nemen met de kopie die ik zelf thuis al gemaakt had (die voorzien is van een 'watermerk' en waar een groot deel van de gegevens zijn afgeschermd).
Al een aantal keer in het buitenland uitgelegd dat "my government forbids me to lend out my passport" en dat klinkt tot nu toe serieus genoeg voor de andere kant van de balie om genoegen te nemen met de kopie die ik zelf thuis al gemaakt had (die voorzien is van een 'watermerk' en waar een groot deel van de gegevens zijn afgeschermd).
Dat is dus precies wat ik ook doe. Tot nu toe nog geen problemen mee gehad.
Maar ja; wel binnen de EU.

Als je bijv. naar Azië of de VS afreist kan dat wel eens anders uitpakken.

[Reactie gewijzigd door R4gnax op 30 november 2018 18:49]

Het kan erger.

Op een camping in Zwitserland wilde de eigenaar van mij en mijn reisgenoot het paspoort in bewaring nemen tot ons vertrek.
Je krijgt van hun dan een pasje waar op staat dat zij jou paspoort hebben. Dit in het geval dat je ergens je paspoort moet laten zien.
Mijn reisgenoot was wat milder, maar ik weigerde keihard. Die vent sprak echter alleen Frans en wilde niet wijken. Ik wilde toen naar een andere camping maar mijn reisgenoot stond zijn paspoort af. En dat was dan weer voldoende.

Volslagen idioot. In ons paspoort staat zelfs dat je deze nooit mag afgeven.
Dit komt wel eens voor inderdaad. In Kroatië vragen ze je Paspoort of ID, omdat de camping eigenaren naar de politie moeten om je te registreren. Krijg je de dag erna je pas terug, maar heb ik niet gedaan.
Bijzonder, ik heb nog nooit problemen er mee gehad door dit te weigeren. Ik neem wel altijd een printout mee met de wet waar dit in staat en de strafmaat die er op staat.
Dat s met GDPR dus beter geworden. De wetgeving is er dus al. Kopie maken van het paspoort mag niet zomaar meer.
Welke gegevens staan dan op je paspoort die geheim zijn?
Bij mij staat er enkel mijn volledige naam, plaats van geboorte + datum, gemeente van uitgifte + datum, vervaldatum en paspoort nummer.

Om ID fraude te plegen heb je aan de gegevens die je bij het reserveren van een hotel in moet vullen reeds genoeg. En die gegevens moet een hotel wettelijk vastleggen. Zowel in Nederland al daar buiten.
Het burger service nummer staat tegenwoordig op een aparte pagina. maar mag je ook afplakken als er een copy of foto van gemaakt dient te worden. (bsn tijdje wel, toen niet en nu weer wel in paspoort)
Denk dat je je paspoort nog is moet bekijken.
- Nationaliteit
- Geslacht
- Lengte
En het belangrijkste voor je privacy je BSN nummer. En deze staan op de nieuwe versies niet meer op de voorkant.
En het belangrijkste voor je privacy je BSN nummer. En deze staan op de nieuwe versies niet meer op de voorkant.
Op mijn ID wel. Maar ik hoef niet naar het buitenland, laat staan buiten Europa. :)
Ik had het ook niet over een ID, maar over een paspoort. Staat er duidelijk tho.
Ik had het ook niet over een ID, maar over een paspoort. Staat er duidelijk tho.
Paspoort is anders dan ID kaart.
Op een moderne ID kaart staan die gegevens idd op de achterkant.

Op een paspoort vziw idd niet.
Maar er is privacy-technisch wel meer manco aan een paspoort. Je kunt achterlijk genoeg gevoeligge gegevens zoals het BSN direct uit die lange reeks nummers en letters in de machine-leesbare zone terug ophoog hengelen. Staat er gewoon onbeschermd zonder enige vorm van versleuteling in. Moet je ook even bedacht op zijn en afschermen als er een kopie 'nodig' is.

[Reactie gewijzigd door R4gnax op 30 november 2018 18:56]

Mijn id-kaart van vorig jaar staat het BSN op de achterzijde. Paspoort heb ik niet, geen behoefte momenteel om buiten Europa te verblijven.
BSN staat in de 2018-versie helaas nog wel onderaan in de Machine Leesbare Zone.
De dingen die je opnoemt plus je pasfoto ;)

De Autoriteit Persoonsgegevens heeft hierover de nodige informatie op haar website staan. Een mooi begin is de FAQ omtrent het identiteitsbewijs.

Zoals je daar kunt lezen zijn je pasfoto en BSN de meest bijzondere persoonsgegevens en is dat het minste wat je zou moeten afschermen. Zoals je daar echter ook kunt lezen is in principe alles op je identiteitsbewijs geheim maar dien je in bepaalde situaties bepaalde informatie op dat identiteitsbewijs prijs te geven van de wetgever. Je moet dus andersom redeneren: welke gegevens zijn niet geheim in de betreffende situatie?
En pasfoto afschermen? Wat een onzin. Iedereen kan in het openbaar een foto maken en deze door een fotobewerking pakket heen halen dat het een pasfoto is.
Het BSN staat niet meer op de pagina met alle ander relevante gegevens.
BSN staat helaas nog wel in de MLZ (machine leesbare zone), de 2 onderste regels. Dus als er een kopie wordt gemaakt staat het BSN daar ook gewoon op.
BSN staat helaas nog wel in de MLZ (machine leesbare zone), de 2 onderste regels. Dus als er een kopie wordt gemaakt staat het BSN daar ook gewoon op.
Ja dat nummer verplaatsen naar de achterkant maar nog wel in de MRZ laten staan is echt de grootste wassen neus ooit |:(
Bizar, ik reis geregeld internationaal en verblijf steeds in Mariott, Hilton of Conrad hotels en nog nooit een identiteitskaart moeten tonen. Gewoon VISA kaart en dat is alles.
Stond je zeker al in het systeem.
Overheden willen dat ook graag weten, waar iemand verbleven heeft. Know-Your-Customer (KYC) wetgeving enzo.

[Reactie gewijzigd door ikbenvanmars op 30 november 2018 13:36]

Afgeven sowieso niet. Dat is mij ook 1 keer overkomen met mijn creditcard. Gelukkig geen misbruik van gemaakt, maar toch.

De rijksoverheid heeft geloof ik ook een app waarbij je alleen nog de minimaal benodigde informatie zichtbaar kunt maken als iemand je paspoort "nodig heeft".

Wat dat aangaat zou er best een campagne van de overheid mogen zijn over je privacy en wat mensen wel en niet van je mogen vragen/hebben/inzien.
Een half miljard klanten?! Hoe lang bewaren ze die gegevens dan wel niet, moet toch om jarenlang gaan.
de NOS meld dat ze 4 jaar lang toegang hadden tot het systeem... dus dan hoef je de gegevens niet eens jarenlang te bewaren om aan een half miljard klanten te komen.
Laat ik even voor Nederland spreken: hier is het wettelijk verplicht om gegevens 7 jaar te bewaren.

Onderschat daarnaast niet de omvang van Marriott . Een snelle [url="https://https://www.usatoday.com/story/travel/roadwarriorvoices/2018/01/22/brands-and-hotel-rooms-marriott-international-numbers/1053593001/"]zoekopdracht[/url] levert op dat ze 1,2 miljoen kamers hebben. Met een bezetting van 50% zijn dat al 219 overnachting per jaar... Tuurlijk, herhaalgasten, verblijven van meer nachten maar het geeft een goed beeld van de omvang van Marriott.
Ik schrik hier wel van. Naam, toenaam, adres, paspoort nummer. Veel meer heb je niet nodig om zware identiteit fraude te begaan. Ik sta er mogelijk ook tussen, maar hoop alsnog van niet omdat mijn reservering al een flinke tijd daarvoor was.

Verder, de database is AES 128 encrypted. Wat ik hier lees:
Dit houdt overigens niet in dat 128-bit encryptie onveilig is - het blijft nog steeds te moeilijk om te kraken aangezien de hoeveelheid vereiste rekenkracht nog ver boven de mogelijkheden ligt van de snelste computers.
Betekend dit dat we vooralsnog veilig zijn maar eer er veel snellere computers zijn of quantum computing in the cloud beschikbaar wordt dat we een grote vloedgolf van fraude kunnen verwachten (medio 2020)? :/
Hey kostte 6 jaar geleden een miljard jaar.

Ondertussen is het nog veilig zat, maar het kantelpunt komt wel dichtbij. Voor high profile targets kan AES128 ondertussen te zwak zijn.
Hey kostte 6 jaar geleden een miljard jaar.
Met wat voor (theoretische) hardware? Als je de huidige bitcoin-miners om zou kunnen bouwen naar AES128-cracking hardware zou het 156 keer langer duren dan het huidige heelal bestaat. 2158 miljard jaar. Per creditcard-nummer, wat in het beste geval vijf jaar geldig is.
Lijkt me met alles wat zo'n beetje beschikbaar was destijds, tijd geleden dat ik me er in verdiept heb. Maar de clouds van AWS/MS/Google zijn de afgelopen jaren zo ontiegelijk veel sterker geworden door o.a. de toevoeging van FPGA's.

Botnets zijn nu ook veel groter, sterker en makkelijker te bemachtigen dan jaren terug wat criminelen eerder zullen gebruiken.

Het zal voor de meeste mensen echt geen issue zijn. Als ik een high profile target zou zijn, zou ik me wel een beetje zorgen maken.
Betekend dit dat we vooralsnog veilig zijn maar eer er veel snellere computers zijn of quantum computing in the cloud beschikbaar wordt dat we een grote vloedgolf van fraude kunnen verwachten (medio 2020)? :/
Dat ligt er maar aan. Creditcards hebben een vervaldatum van 5 jaar. De database komt uit 2014, wat betekend dat in 2020 veel kaarten al verlopen zijn. Ook kaarten die nu worden gebruikt zijn niet allemaal na 2020 nog geldig.

Het blijven er evengoed nog veel, maar het zullen geen half miljard actieve creditcards zijn.
Ze hadden sinds 2014 toegang. Ze meldden dat als je voor 20 september dit jaar geboekt heb, je gegevens mogelijk gelekt kunnen zijn.
Medio 2020 quantum computing in the cloud? Wellicht dat ik tegen die tijd dit bericht teruglees en grinnik om m'n naïviteit, maar ik denk niet dat we dan al zo ver zijn. Quantum computing is erg complex..
Kan al hoor; aantal qbits is nog niet genoeg om passwords kraken obsolete te maken, maar je kan al quantum computer als cloud dienst afnemen.

Maar; AES-128 en hoger is redelijk veilig voor quantum computers. De formules die op dit moment gebruikt worden maken vooral gehakt van asymmetrische versleuteling (RSA, diffie-hellman, ellipic curve)
Ik schrik hier wel van. Naam, toenaam, adres, paspoort nummer. Veel meer heb je niet nodig om zware identiteit fraude te begaan.
"Paspoortnummer" zegt niets. Voor Nederlanders kan het bijvoorbeeld een documentnummer betreffen (waardeloos) of BSN (alle alarmbellen moeten afgaan).
Betekend dit dat we vooralsnog veilig zijn maar eer er veel snellere computers zijn of quantum computing in the cloud beschikbaar wordt dat we een grote vloedgolf van fraude kunnen verwachten (medio 2020)? :/
128 bit AES zal niet in 2020 gekraakt zijn. De NIST recommendation geeft aan dat AES 128 gebruikt kan worden in de periode "2016-2030 & beyond". Als de symmetrische sleutel enkel ergens in een HSM zit dan is het veilig genoeg.

Bovendien betreft het kredietkaartgegevens die encryptie krijgen. Kredietkaart intrekken, nieuwe aanvragen en klaar. Een BSN wordt van minder beveiliging voorzien en vervang je niet zo makkelijk, helaas.

Het probleem is overigens niet het BSN. Het probleem is hoe het BSN in Nederland gebruikt wordt om overheidsdiensten aan te vragen. Een BSN zou enkel als identificatiemiddel gebruikt moeten worden, niet als authenticatiefactor.

[Reactie gewijzigd door The Zep Man op 30 november 2018 13:52]

Het paspoortnummer is niet waardeloos omdat daarmee mogelijk succesvol een vals paspoort gemaakt kan worden dat ook nog eens door validatie-checks kan komen. Zonder dit nummer kan dat niet.
Een gelekt BSN is in principe voor alle ZZP'ers een stuk minder spannend; dat kan eenieder afleiden uit het BTW-nummer.
Het paspoortnummer is niet waardeloos omdat daarmee mogelijk succesvol een vals paspoort gemaakt kan worden dat ook nog eens door validatie-checks kan komen.
Met het documentnummer heb je geen digitaal paspoort, waar elke noemenswaardige validatie-implementatie gebruik van maakt.
Die alarmbellen gaan niet af gezien de laksheid van de overheid en de KVK om structureel meer dan een miljoen BSNs te delen met de wereld. En 128 bit AES gebruiken om een stukje data van 16 decimale posities te beveiligen is natuurlijk dikke grote onzin. De sleutel van AES is al langer dan de data die je beveiligt. Die breek je nog net niet op een zakjappanner met brute-forcen.Gooide sha-1 en aes-128 door de war. Probleem is minder groot, maar niet minder erg.

[Reactie gewijzigd door latka op 30 november 2018 17:48]

Wordt zulke data dan per veld geëncrypteerd? Ik dacht dat het hele persoonsrecord hieronder zou vallen waardoor de data wel langer zou zijn.
Men meld dat alles plaintext is behalve de CC.
Oh thx, had het beter moeten lezen.
de gegevens met AES-128 versleuteld
Maar dan is enkel de vraag, hebben ze ook de key? Dan mag je zelfs 256 hebben, doet dan vrij weinig :P
Dat is mij ook niet helemaal duidelijk na het lezen van dit artikel. Is het encrypted bestand gelekt of is de unencrypted data gelekt?

EDIT: uit het statement van Marriot blijkt dat alleen de Creditcard gegevens encypted waren
For some, the information also includes payment card numbers and payment card expiration dates, but the payment card numbers were encrypted using Advanced Encryption Standard encryption (AES-128).

Dus niet encypted: some combination of name, mailing address, phone number, email address, passport number, Starwood Preferred Guest (“SPG”) account information, date of birth, gender, arrival and departure information, reservation date, and communication preferences

Wel encrypted: payment card numbers

[Reactie gewijzigd door Pikkemans op 30 november 2018 13:42]

Dat is mij ook niet helemaal duidelijk na het lezen van dit artikel. Is het encrypted bestand gelekt of is de unencrypted data gelekt?
"There are two components needed to decrypt the payment card numbers, and at this point Marriott has not been able to rule out the possibility that both were taken."

[Reactie gewijzigd door MrEdlin op 30 november 2018 13:49]

Een creditcard nummer is 16 posities met 10 mogelijkheden (10^16 mogelijkheden). Alle mogelijkheden aflopen kost ongeveer 2 jaar op een core-i5 skylake. Nutteloze encryptie dus die je vrij snel kunt brute forcen. Het lek is er al 4 jaar, dus dat kan al lang gebeurt zijn.
Volgens mij draai je wat dingen om. Elke persoon heeft 10^16 mogelijke creditcard nummers (je hebt ook een vervaldatum en code nodig voor je iets met een nummer kunt, dus dat statement gaat al nergens over)

Wat je moet hebben is de key voor de encryptie. En die houdt echt niet op bij 10^16 mogelijkheden.
Een creditcard nummer is 16 posities met 10 mogelijkheden (10^16 mogelijkheden). Alle mogelijkheden aflopen kost ongeveer 2 jaar op een core-i5 skylake. Nutteloze encryptie dus die je vrij snel kunt brute forcen. Het lek is er al 4 jaar, dus dat kan al lang gebeurt zijn.
Volgens mij klopt dit niet. Als het CC-nummer alleen gehasht was, zou je gelijk hebben. Met deze encryptie moet je de key brute-forcen, niet de plaintext. Om te valideren dat een bepaald CC-nummer klopt, moet je deze encrypten, en vergelijken met de gelekte (encrypted) data. Probleem is dat je niet kan encrypten zonder de key te weten!

Probeer bijv. maar eens dit te brute-forcen, voor het gemak heb ik een getal onder de 10 geëncrypt. http://aes.online-domain-tools.com/ :)

c3d17a4f6b2b4e95a0c2ff5108bbb550

Zonder de bijbehorende geheime key kan je niet:
  • de data (c3d17a4f6b2b4e95a0c2ff5108bbb550) decrypten
  • Met het juiste getal (0-9) tot dezelfde encrypted string komen
Woeps. Idd. het is geen hash, maar ge-encrypt. Dan is het verhaal iets anders, Niet onmogelijk, maar duurt iets langer ;-)

Net even gekeken. AES-NI helpt wel, maar het gaat vandaag niet meer lukken.

[Reactie gewijzigd door latka op 30 november 2018 16:48]

Dat weet ze (nog) niet bij Starwood. De kans is aanwezig dat de key ook meegenomen is.
Dat was ook mijn eesrte gedachte. Leuk hoor dat je data (of een deel ervan) versleuteld is. Maar als mensen al 4 jaar toegang tot je systeem hebben, is de kans aanwezig dat ze de sleutel ook al lang er breed in bezit hebben.

En ook wel leuk dat je tool na 4 jaar een keer af gaat. Of zouden ze onlangs een (nieuwe) tool hebben geinstalleerd? Het kan natuurlijk ook zo zijn dat de aanvalspatronen onlangs andere vormen hebben aangenomen en daarom nu pas ontdekt worden.

De leuke hamvraag blijft natuurlijk: hoe zijn ze binnen gekomen. Helaas hoor je dat nooit maar zou wel leuk zijn om daar eens inzicht in te krijgen (waarschijnlijk of erg komisch of erg leerzaam).
Ik vraag me af hoeveel ketens hierbij aangesloten zitten. Ik heb nooit iets geboekt bij Marriot, maar wel bij andere bekende hotel ketens. Ik kan me niet voorstellen dat Marriot zelf meer dan een half miljard klanten heeft, dus ik neem aan dat er ook andere ketens bij zitten.
Starwood is een groep, daar zitten dus een pak hotels onder inderdaad. De grootste ketens daaronder zijn Sheraton met meer dan 500 hotels of Design Hotels, met een stuk of 300. In zo'n laatste hotel ben ik wel eens geweest, dus ik zit bij dat half miljard denk ik.
Half miljard, met alle respect maar dat zal gok ik hun hele klantenbestand zijn.
Starwood brands include: W Hotels, St. Regis, Sheraton Hotels & Resorts, Westin Hotels & Resorts, Element Hotels, Aloft Hotels, The Luxury Collection, Tribute Portfolio, Le Méridien Hotels & Resorts, Four Points by Sheraton and Design Hotels that participate in the Starwood Preferred Guest (SPG) program. Starwood branded timeshare properties are also included.
Ik maak zelf vooraf een copy van mijn paspoort mèt een watermerk en een ander bsn nummer en geef dit af bij hotel recepties bij het inchecken. Tot nu toe altijd gewaardeerd en geaccepteerd.
Wat bedoel je met een ander BSN nummer? En wat is de bedoeling van het watermerk?
Ander bsn nummer doe ik via Photoshop nummers husselen en andersom plakken. Verder het woord "copy" transparant op verschillende plekken.
Was je anders bang dat ze je A4 copie als een echt paspoort beschouwen?

Overigens zou ik erg oppassen met het vervalsen van je documenten.
Inderdaad, gewoon onleesbaar maken met een zwart balkje van het sofi nummer is veel beter.
We kunnen er ondertussen bijna van uitgaan dat nagenoeg iedereen z'n persoonlijke details (naam, leeftijd, courant e-mailadres, ..) wel ergens op het (dark)web te verkrijgen valt..

*edit*, of toch van de ontwikkelde landen met courante internettoegang

[Reactie gewijzigd door ikbenvanmars op 30 november 2018 13:33]

Wat zal t zijn, zo’n 8% van de wereldbevolking? Er vanuitgaande dat er geen dubbelingen in zitten.
Best wel bizar...
Wat mij verbaasd is dat men al sinds 2014 toegang had tot de systemen van Starwood en dat nu pas een belletje is gaan rinkelen. Dit omdat het CIRT account in 2017 al gehackt was: https://twitter.com/malwr...status/881089396124078080

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True