ملخص

  • تم اختراق بيئة حجوزات ستاروود في أواخر يوليو 2014، أي قبل أكثر من عامين من إتمام ماريوت لاستحواذها على ستاروود في 23 سبتمبر 2016. إيداع الاستحواذ لماريوت متاح علىhttps://www.sec.gov/Archives/edgar/data/1048286/000119312516718014/d241360d8k.htm، وإشعار العقوبة النهائي لمكتب مفوض المعلومات البريطاني متاح علىhttps://ico.org.uk/media2/migrated/2618524/marriott-international-inc-mpn-20201030.pdf.
  • المسألة الأساسية في المساءلة ليست ما إذا كان بإمكان ماريوت معرفة كل حقيقة مخفية قبل الإغلاق. بل مدى سرعة تحول السلطة بعد الإغلاق إلى سيطرة مؤكدة على قاعدة بيانات الحجوزات الموروثة، وبيانات الاعتماد المميزة، ومراقبة قاعدة البيانات، وجرد التشفير، وحدود مقدمي الخدمات، وتقاعد البيانات.
  • اتخذت الجهات التنظيمية لاحقًا مسارات مختلفة: فرض مكتب مفوض المعلومات غرامة قدرها 18.4 مليون جنيه إسترليني بسبب إخفاقات أمنية خلال فترة اللائحة العامة لحماية البيانات، وتوصلت الولايات الأمريكية إلى تسوية بقيمة 52 مليون دولار، وفرضت لجنة التجارة الفيدرالية أمرًا لمدة 20 عامًا. لم تعترف ماريوت بالمسؤولية في تسوية الولايات ولم تستأنف غرامة مكتب مفوض المعلومات.
  • يدعم السجل المخاطر التشغيلية الموروثة، والتأخر في الاكتشاف، والمراقبة غير المكتملة، والحماية غير المتساوية لجوازات السفر، والأوصاف المشفرة المتغيرة، والعلاج القابل للتنفيذ. لا يدعم عددًا دقيقًا للأشخاص الفريدين، أو تحديدًا عامًا للمهاجم، أو دليلًا على أن كل ضحية متأثرة تعرضت لاحتيال كامل.

الاستحواذ ليس شهادة أمنية

غالبًا ما يوصف الاستحواذ على شركة بمصطلحات تجارية: العلامات التجارية، الغرف، أعضاء الولاء، الأسواق، وقيمة الصفقة. يُظهر خرق ستاروود سبب كون نظام البيانات المباشر أيضًا حد ثقة مع طرف ثالث. قبل الإغلاق، قد يتلقى المشتري إقرارات، ومواد العناية الواجبة، وتقارير الامتثال، وملخصات البنية التحتية، وإفصاحات الاختراق. بعد الإغلاق، يرث المشتري السلطة التشغيلية. قد تتأخر الحقيقة الأمنية عن كليهما.

وافقت ماريوت على الاستحواذ على ستاروود في نوفمبر 2015 وأكملت الاستحواذ في 23 سبتمبر 2016. أصبحت ستاروود شركة تابعة مملوكة بالكامل بشكل غير مباشر. أنشأت الصفقة أكبر شركة فنادق في العالم من حيث الغرف والعلامات التجارية، مع بصمة حجوزات عالمية موصوفة في مواد الاستحواذ علىhttps://www.sec.gov/Archives/edgar/data/1048286/000119312516718014/d241360dex991.htm. ومع ذلك، لم تكن الحقيقة الأمنية لقاعدة بيانات الحجوزات هي نفس قيمتها التجارية. وفقًا لمكتب مفوض المعلومات، بدأ التسلل الذي ارتبط لاحقًا بخرق الحجوزات في أواخر يوليو 2014.

هذا التسلسل الزمني مهم لأن ماريوت لم تكن تملك ستاروود عندما دخل المهاجم لأول مرة. كما أنه مهم لأن ماريوت كانت تملك الشركة بينما ظل نظام الحجوزات المخترق قيد التشغيل بعد الإغلاق. أخبر الرئيس التنفيذي لماريوت آنذاك لجنة فرعية بمجلس الشيوخ الأمريكي في عام 2019 أن مراجعة التكنولوجيا قبل الإغلاق كانت محدودة لأن ماريوت وستاروود بقيتا منافستين، وأن ماريوت قررت تقاعد منصة حجوزات ستاروود، وأن نقل 1,270 فندقًا استغرق عامين. الشهادة متاحة علىhttps://www.hsgac.senate.gov/wp-content/uploads/imo/media/doc/Soresnson%20Testimony.pdf. هذه القيود حقيقية. لا تزيل الواجب بعد الإغلاق للتحقق من البيئة التي استمرت في معالجة بيانات الضيوف.

الفرق هو حدود الثقة. قبل الاستحواذ، كانت ستاروود طرفًا ثالثًا. بعد الاستحواذ، أصبح نظام ستاروود النظام التشغيلي الموروث لماريوت حتى لو كان منفصلاً تقنيًا عن شبكة ماريوت الأوسع. وجد مكتب مفوض المعلومات أن شبكتي ستاروود وماريوت الأوسع ظلتا منفصلتين وأن المهاجم لم يصل إلى البيانات التي تمت معالجتها فقط على أنظمة غير تابعة لستاروود. قلل الفصل من نصف قطر الانفجار. كما عنى أن النظام القديم يمكن أن يظل مكانًا منفصلاً حيث استمر المتسلل.

لذا فإن السؤال المسؤول بعد الإغلاق قائم على الأدلة: أي الحسابات المميزة أعيد التحقق منها، وأي بيانات اعتماد لمقدمي الخدمات تم تدويرها، وأي جداول قاعدة بيانات تمت مراقبتها، وأي عمليات تصدير تم تسجيلها، وأي ادعاءات تشفير تم اختبارها، وأي حقول بيانات تم تعيينها، وأي نسخ تم تقاعدها، ومدى سرعة استبدال حقيقة النظام القديم لأوراق البائع.

التاريخ المخفي اصطدم بتاريخ أمني معروف

لا ينبغي دمج خرق حجوزات ستاروود مع خرق نقاط البيع السابق لستاروود، لكن الخرق السابق ينتمي إلى سياق مخاطر الاستحواذ. كشف التقرير السنوي لستاروود لعام 2015 علىhttps://www.sec.gov/Archives/edgar/data/316206/000156459016013371/hot-10k_20151231.htmعن برمجيات ضارة تؤثر على أنظمة نقاط البيع في بعض الفنادق، وقال في ذلك الوقت إنه لا يوجد مؤشر على تأثر أنظمة الحجوزات أو الولاء في ذلك الحدث. لم يكشف ذلك البيان عن المتسلل المخفي للحجوزات. لكنه أظهر أن ستاروود كانت لديها مشكلات أمنية حديثة تتطلب تدقيق المشتري.

ادعت شكوى لجنة التجارة الفيدرالية لعام 2024 علىhttps://www.ftc.gov/system/files/ftc_gov/pdf/1923022marriottcomplaint_0.pdfلاحقًا إخفاقات أوسع عبر عدة خروقات، بما في ذلك نقاط ضعف مرتبطة بستاروود وماريوت. تم حل الشكوى بالتراضي ولا ينبغي التعامل معها كنتيجة محاكمة. قيمتها هنا هي إظهار نوع موضوعات السيطرة التي شددت عليها الجهات التنظيمية لاحقًا: الفصل، وضوابط الوصول، والتصحيح، والمصادقة متعددة العوامل، والمراقبة، والحماية المشفرة، والاحتفاظ بالبيانات، وتقييم الكيان المستحوذ عليه.

حول الأمر النهائي للجنة التجارة الفيدرالية علىhttps://www.ftc.gov/system/files/ftc_gov/pdf/1923022marriottfinalorder.pdfتلك الموضوعات إلى التزامات طويلة الأجل. يتطلب برنامج أمني، وعناصر برنامج خصوصية، وتقييمات متعلقة بالاستحواذ، وتحليل المخاطر، وضوابط الوصول، والمراقبة، والاختبار، وضوابط الحذف والاحتفاظ، وإعداد تقارير مجلس الإدارة، والشهادة، والتقييم المستقل. الأمر لا يثبت كل ادعاء في الشكوى. يوضح ما رأته الجهات التنظيمية كسيطرة تطلعية ضرورية بعد مخاطر الاختراق الموروثة والمتكررة.

بالنسبة لفرق الصفقات، الدرس عملي. إفصاح البائع عن الاختراق السابق ليس شهادة صحة للأنظمة المجاورة. يمكن أن يغطي تقرير الامتثال بيئة واحدة ويفتقد أخرى. البيان بأن أنظمة الحجوزات لم يشار إليها كمتأثرة في حادث نقاط بيع واحد لا يثبت أنها كانت نظيفة من اختراق منفصل. يحتاج المشتري إلى خطة صيد تهديدات بعد الإغلاق وخطة للتحقق من السيطرة للأنظمة القديمة عالية القيمة، خاصة عندما يستغرق النقل سنوات.

الجدول الزمني: السيطرة التجارية، والاكتشاف التقني، وإشعار الضيف ساعات مختلفة

على الأقل خمسة تواريخ ترتكز على السجل. أواخر يوليو 2014 يمثل دخول المتسلل إلى بيئة ستاروود. 23 سبتمبر 2016 يمثل إغلاق استحواذ ماريوت. 25 مايو 2018 يمثل بدء تطبيق اللائحة العامة لحماية البيانات للتحليل القانوني لمكتب مفوض المعلومات. 7 و8 سبتمبر 2018 يمثلان تنبيه قاعدة البيانات والتصعيد إلى ماريوت. 19 نوفمبر 2018 يمثل التاريخ الذي قالت فيه ماريوت إن المحققين فكوا تشفير الملفات وأكدوا تورط معلومات شخصية من قاعدة بيانات حجوزات ستاروود.

يعيد إشعار عقوبة مكتب مفوض المعلومات بناء دخول أواخر يوليو 2014 من خلال قشرة ويب على جهاز يدعم تطبيق موظف في ستاروود. استخدم المهاجم أدوات الوصول عن بعد، وجمع بيانات الاعتماد، وتحرك عبر البيئة، وقام في النهاية بتصدير جداول قاعدة البيانات. لا يوفر السجل العام قائمة كاملة بالمضيفين، أو قائمة كاملة بالملفات، أو الثغرة الأولية الدقيقة. لكنه يثبت وجودًا غير مصرح به طويلاً قبل الاستحواذ وبعده.

في 7 سبتمبر 2018، أنشأ IBM Guardium تنبيهًا بعد أن استعلم حساب مسؤول عن عدد صفوف جدول ملفات تعريف الضيوف المحمي. قامت أكسنتشر، التي كانت تدير قاعدة بيانات حجوزات ضيوف ستاروود، بالتصعيد إلى ماريوت في 8 سبتمبر. علمت ماريوت أن الشخص الذي استخدمت بيانات اعتماده لم يقم بالاستعلام. كان ذلك الحدث اكتشافًا لنشاط مشبوه، وليس معرفة فورية بكل ملف تم تصديره. بدأ مسار الاكتشاف النهائي.

تظهر الأيام التالية لماذا يعتبر التنبيه والاحتواء وتحديد النطاق منفصلة. استدعت ماريوت الاستجابة للحوادث واستعانت بمحققين خارجيين. في 10 سبتمبر، وفقًا لمكتب مفوض المعلومات، تم تصدير جدول آخر متعلق بجوازات السفر إلى ملف تفريغ. في 17 سبتمبر، حدد المحققون حصان طروادة للوصول عن بعد ومنعوا نشاط القيادة والتحكم. في أكتوبر، حدد المحققون أدلة دفعت تاريخ الاختراق إلى عام 2014. في 13 نوفمبر، وجدوا آثارًا لملفات مشفرة ومحذوفة. في 19 نوفمبر، فكوا تشفير الملفات وأكدوا أنها تحتوي على معلومات شخصية من قاعدة بيانات الحجوزات.

أبلغت ماريوت مكتب مفوض المعلومات في 22 نوفمبر وكشفت علنًا في 30 نوفمبر. إشعار الشركة علىhttps://marriott.gcs-web.com/news-releases/news-release-details/marriott-announces-starwood-guest-reservation-database-securityذكر أن قاعدة البيانات كانت في الولايات المتحدة وأعطى فئات الحقول المبكرة وتقديرات السكان. تظهر نسخة مستقرة من الإفصاح الأولي لدى هيئة الأوراق المالية والبورصات علىhttps://www.sec.gov/Archives/edgar/data/1048286/000162828018014745/a2018118k.htm.

لم يصدر مكتب مفوض المعلومات لاحقًا نتيجة نهائية بموجب المادة 33 أو المادة 34 ضد ماريوت بعد النظر في الجدول الزمني للتحقيق والإقرارات. هذا حد قانوني. لا يمحو الحقيقة التشغيلية بأن إشعار العملاء اعتمد على قدرة المنظمة على اكتشاف وفك تشفير وتصنيف الملفات المصدرة بعد أشهر من التنبيه الأول.

يجب أن تظل الأعداد والحقول محدودة

استخدم إشعار ماريوت الأول سقفًا يصل إلى حوالي 500 مليون ضيف، مع مجموعة فرعية تضم حوالي 327 مليون سجل تحتوي على مجموعات أوسع من الحقول. تحديثها في يناير 2019 علىhttps://marriott.gcs-web.com/news-releases/news-release-details/marriott-provides-update-starwood-database-security-incidentخفض الحد الأعلى إلى حوالي 383 مليون سجل وحذر من أن التكرارات تعني عددًا أقل من الضيوف الفريدين. استخدم مكتب مفوض المعلومات لاحقًا 339 مليون سجل ضيف عالميًا، بما في ذلك 30.1 مليون مرتبط بدول المنطقة الاقتصادية الأوروبية و7 مليون مرتبط بالمملكة المتحدة. استخدمت التسوية متعددة الولايات لعام 2024 131.5 مليون سجل ضيف مرتبط بالولايات المتحدة.

لا ينبغي تكديس هذه الأرقام. السجلات ليست أشخاصًا فريدين. المجموعات الفرعية الإقليمية ليست إضافات عالمية. تخدم مجموعات التقاضي ومجموعات الجهات التنظيمية أغراضًا إجرائية مختلفة. التقرير السنوي لماريوت لعام 2018 علىhttps://www.sec.gov/Archives/edgar/data/1048286/000162828019002337/mar-q42018x10k.htmقام بتحديث تقديرات فئات جوازات السفر وبطاقات الدفع وسجل تكاليف الحادث واستردادات التأمين، لكنه لم يحول كل سجل إلى نفس التعرض للبيانات.

تنوعت أيضًا تركيبات الحقول. سرد الإشعار الأول الأسماء، وعناوين البريد، وأرقام الهواتف، وعناوين البريد الإلكتروني، وأرقام جوازات السفر، ومعلومات Starwood Preferred Guest، وتواريخ الميلاد، والجنس، ومعلومات الوصول والمغادرة، وتواريخ الحجز، وتفضيلات الاتصال، وبعض بيانات بطاقات الدفع. وصف مكتب مفوض المعلومات تفاصيل على مستوى الجدول مثل علامات كبار الشخصيات، وبيانات الغرفة والإقامة، وتفاصيل الرحلة، وبلد ورقم جواز السفر، وحالة تسجيل الوصول، وأعداد البالغين أو الأطفال في الغرف. بعض الحقول تساعد في الاحتيال. البعض الآخر يساعد في الاتصال المستهدف. البعض يكشف أنماط السفر أو السياق الأسري حتى بدون بيانات مالية.

تغيرت أيضًا حماية الدفع وجواز السفر في الوصف العام. وصفت ماريوت أولاً بعض أرقام بطاقات الدفع وبعض أرقام جوازات السفر بأنها محمية بتشفير AES-128. في أبريل 2024، قامت ماريوت بتحديث صفحات الحادث لذكر أن أرقام بطاقات الدفع ذات الصلة وبعض أرقام جوازات السفر كانت محمية بدلاً من ذلك بـ SHA-1. لاحظت صفحة المستهلكين للجنة التجارة الفيدرالية علىhttps://consumer.ftc.gov/consumer-alerts/2018/12/marriott-data-breachلاحقًا هذا الفرق. تشرح صفحة وظائف التجزئة للمعهد الوطني للمعايير والتقنية علىhttps://csrc.nist.gov/Projects/hash-functionsوإشعار الانتقال من SHA-1 علىhttps://www.nist.gov/news-events/news/2022/12/nist-transitioning-away-sha-1-all-applicationsلماذا SHA-1 هي دالة تجزئة ولماذا لا ينبغي للحماية الحديثة التعامل معها كتشفير عادي.

تصحيح 2024 لا يثبت أن جميع القيم المحمية تم عكسها أو إساءة استخدامها. لكنه يظهر فشل جرد تشفير. يجب على المتحكم الذي يعالج بيانات الحجوزات وجوازات السفر العالمية أن يعرف أي الحقول هي نص عادي، ومشفرة، ومجزّأة، ومرمّزة، أو محوّلة بطريقة أخرى؛ وأي خوارزمية تنطبق؛ وأين توجد المفاتيح أو الأسرار؛ وكيف يتم التحقق من هذه الحقائق قبل الإشعار العام. تصحيح بعد خمس سنوات من التشفير إلى التجزئة يغير الطريقة التي يقرأ بها الأشخاص المتأثرون والجهات التنظيمية المخاطر.

ما وجده مكتب مفوض المعلومات، وما لم يجده

إشعار العقوبة النهائي لمكتب مفوض المعلومات هو أقوى سجل إداري عام لخرق حجوزات ستاروود. كان نطاقه أضيق من القصة الكاملة 2014-2018. تناول معالجة ماريوت من 25 مايو 2018، عندما أصبحت اللائحة العامة لحماية البيانات قابلة للتطبيق، حتى 17 سبتمبر 2018، عندما تم تحديد حصان طروادة للوصول عن بعد واحتواؤه. لم يفرض مسؤولية اللائحة العامة لحماية البيانات عن الفترة السابقة للائحة أو يقرر أن العناية الواجبة لماريوت قبل الإغلاق كانت غير كافية قانونيًا.

يتطلب نص اللائحة العامة لحماية البيانات علىhttps://eur-lex.europa.eu/eli/reg/2016/679/ojمن المتحكمين تنفيذ تدابير تقنية وتنظيمية مناسبة، مع تقييم الملاءمة مقابل المخاطر، وأحدث التقنيات، والتكلفة، والسياق، وحقوق الأفراد. وجد مكتب مفوض المعلومات انتهاكات لمبادئ الأمن والمادة 32. تعلقت نتائجه الأمنية الرئيسية الأربعة بعدم كفاية مراقبة الحسابات المميزة، وعدم كفاية مراقبة قاعدة البيانات، وضعف السيطرة على الأنظمة الحرجة، والفشل في تشفير جميع أرقام جوازات السفر.

نتيجة الحسابات المميزة مهمة لأن المهاجم استخدم بيانات اعتماد مشروعة. يمكن أن تبدو جلسة قاعدة البيانات أو الوصول عن بعد مصرحًا بها إذا توقفت المراقبة عند صلاحية بيانات الاعتماد. نتيجة مراقبة قاعدة البيانات مهمة لأن التنبيه الذي كان مهمًا في النهاية كان مرتبطًا بجدول له صلة ببطاقات الدفع، بينما افتقرت البيانات الشخصية الأخرى إلى التنبيه المماثل. نتيجة السيطرة على الأنظمة الحرجة مهمة لأن الأنظمة القادرة على الوصول إلى مخازن كبيرة للبيانات الشخصية يجب أن يكون لديها تعزيز وضوابط تنفيذ. نتيجة جواز السفر مهمة لأن ملايين أرقام جوازات السفر لم تكن مشفرة ولم يبرر أي تقييم مخاطر موثق الحماية غير المتساوية.

أزال مكتب مفوض المعلومات أيضًا أو لم ينهِ العديد من القضايا التي غالبًا ما تكون غير واضحة في الروايات العامة. أزال نقطة المصادقة غير المكتملة متعددة العوامل من العقوبة النهائية بعد النظر في اعتماد ماريوت على الإقرارات وتقارير الامتثال لبطاقات الدفع. لم يصدر نتيجة نهائية بموجب المادة 33 بشأن إشعار الاختراق ولا نتيجة نهائية بموجب المادة 34 بشأن إشعار الأفراد. اعترف بأن العناية الواجبة العميقة قبل الإغلاق يمكن أن تكون مقيدة في استحواذ بين المنافسين. هذه الحدود لا تجعل الاختراق صغيرًا. تجعل السجل القانوني دقيقًا.

استجابت ماريوت للقرار النهائي لمكتب مفوض المعلومات علىhttps://marriott.gcs-web.com/news-releases/news-release-details/marriott-international-update-conclusion-uk-ico-investigation، ذاكرة أنها لن تستأنف وبدون اعتراف بالمسؤولية. موقف عدم الاعتراف هو إجرائي. يتعايش مع النتائج الإدارية النهائية لمكتب مفوض المعلومات.

الثقة في مقدم الخدمة والمنصة

لم تكن قاعدة بيانات حجوزات ستاروود تطبيقًا داخليًا واحدًا يملكه ويلامسه فريق واحد. قامت أكسنتشر بإدارة قاعدة بيانات حجوزات ضيوف ستاروود، وأنشأ Guardium التنبيه الرئيسي، وغذت عمليات الفنادق سجلات الحجوزات، واعتمدت عمليات الولاء ومركز الاتصال على المنصة، واضطرت ماريوت إلى الحفاظ على استمرارية الأعمال أثناء نقل الفنادق. هذا يجعل النظام حد ثقة منصة، وليس مجرد قاعدة بيانات.

تغيير الإدارة من طرف ثالث يغير سؤال الأدلة. يمكن للمتحكم الاستعانة بمصادر خارجية للتشغيل، لكنه لا يزال بحاجة إلى دليل على التسجيل، والتصعيد، ومراجعة الوصول المميز، والتحكم في التغيير، ومراقبة التصدير، والاحتفاظ، والاستجابة للحوادث. يمكن لمزود الخدمة المدارة رؤية تنبيه قبل المتحكم. لا يزال المتحكم بحاجة إلى سياق كافٍ لتحديد ما إذا كانت بيانات الضيوف في خطر وما إذا كانت واجبات الإشعار قد بدأت. يظهر تسلسل سبتمبر 2018 أن سلسلة التنبيه يمكن أن تعمل وتظل تحديد النطاق غير محلول لأسابيع.

تظهر تسوية الولايات التي أعلنتها ولاية كونيتيكت علىhttps://portal.ct.gov/ag/press-releases/2024-press-releases/multistate-settlement-with-marriott-for-data-breach-of-starwood-guest-reservation-databaseوالحكم المُدخل في فيرمونت علىhttps://ago.vermont.gov/sites/ago/files/documents/2024.10.09%20Marriott%20Judgment%20VT%20and%20Appendix%20final.pdfكيف ترجم المنفذون الأمريكيون هذا الدرس إلى متطلبات. تضمنت التسوية ضوابط أمنية طويلة الأجل، وتقييم الكيان المستحوذ عليه، وواجبات متعلقة بصاحب الامتياز ومقدم الخدمة، ومساعدة المستهلكين، والدفع. تضمنت أيضًا عدم اعتراف بالمسؤولية. الشروط الزجرية مهمة لأنها تعالج حدود الاستحواذ والطرف الثالث كالتزامات سيطرة مستمرة وليس قضايا إغلاق لمرة واحدة.

يضيف الأمر النهائي للجنة التجارة الفيدرالية طبقة أخرى لحد الثقة. لا يغطي حادث حجوزات ستاروود فحسب، بل مجموعة أوسع من ادعاءات الأمن لماريوت وستاروود. أحكام الاستحواذ أساسية هنا: يجب على المشتري تقييم ومعالجة مخاطر الشركات المستحوذ عليها ودمجها في برنامج أمني. هذه هي بالضبط المشكلة التي كشفتها قاعدة بيانات ستاروود. قد يكون النظام منفصلاً، ومقرراً للتقاعد، وضرورياً تجارياً. لا يزال يحمل بيانات الضيوف تحت سيطرة المشتري.

موقع البيانات كان حقيقة واحدة فقط

قال إشعار ماريوت الأولي إن قاعدة بيانات حجوزات ضيوف ستاروود كانت في الولايات المتحدة. كانت هذه حقيقة تخزين مفيدة. لم تجب على من هم الضيوف، وأي الفنادق وأصحاب الامتياز غذوا السجلات في قاعدة البيانات، وأين وصل إليها الموظفون ومقدمو الخدمات، وأي الجهات التنظيمية كانت لها سلطة، وأي النسخ كانت موجودة، أو أين كانت الملفات المصدرة والصور الجنائية موجودة لاحقًا.

عدّ مكتب مفوض المعلومات السجلات المرتبطة بالمنطقة الاقتصادية الأوروبية والمملكة المتحدة لأن الأشخاص وسياق المعالجة كانوا مهمين بموجب القانون الأوروبي. عدّت الولايات الأمريكية السجلات المرتبطة بالولايات المتحدة لتسويتها. يصف بيان الخصوصية الحالي لماريوت علىhttps://www.marriott.com/about/privacy.miالنقل العالمي، وآليات النقل، والأمن، والتزامات الاحتفاظ في العمل الحالي. إنه ليس دليلاً على بنية ستاروود 2014-2018، لكنه يوضح لماذا لا تستطيع مجموعة فنادق عالمية التعامل مع موقع قاعدة بيانات واحدة كإجابة حوكمة كاملة.

سيادة البيانات في نظام حجوزات لها عدة طبقات. تسأل مكان التخزين عن مكان وجود قاعدة البيانات الرئيسية، والنسخ المتماثلة، والنسخ الاحتياطية، والتصديرات، والسجلات، والصور الجنائية. تسأل مكان الوصول عن أي الموظفين والمقاولين ومشغلي الفنادق ومقدمي الخدمات يمكنهم الوصول إلى البيانات ومن أين. تتبع الشرعية القانونية الضيوف والفنادق والمتحكمين والمعالجين وترتيبات الامتياز والوصول التنظيمي. تتبع الشرعية التجارية معنى الإقامة: تواريخ السفر، والمرافقون، وعلامات كبار الشخصيات، وتفاصيل شركات الطيران، واحتياجات الغرفة، والوجهة.

يظهر خرق ستاروود أن قاعدة بيانات في الولايات المتحدة يمكن أن تخلق تعرضًا تنظيميًا عالميًا وضررًا عالميًا للعملاء. كما يظهر لماذا يجب أن تحدد العناية الواجبة للاستحواذ النسخ والوصول، وليس فقط التخزين الأساسي. المشتري الذي يعرف مكان النظام الرئيسي لكنه لا يعرف من يمكنه تصدير الجداول أو أي حقول جوازات السفر محمية لديه معرفة بالموقع دون معرفة السيطرة.

اقتصاديات اتصال إساءة الاستخدام في بيانات السفر

لم تكن البيانات المكشوفة بحاجة إلى تضمين كلمات مرور أو أرقام بطاقات كاملة لتقليل تكلفة إساءة الاستخدام. يمكن أن يجعل سجل الحجز الرسالة ذات مصداقية. يمكن أن يذكر علامة فندق، وتاريخ إقامة، وعلاقة ولاء، ووجهة سفر، وتفاصيل رحلة، وتفضيل غرفة، ودليل تكوين عائلة، أو تفضيل اتصال. يساعد ذلك السياق المحتال على أن يبدو أقل عمومية.

يصف دليل التصيد لوكالة الأمن السيبراني وأمن البنية التحتية علىhttps://www.cisa.gov/sites/default/files/2024-02/Update%20to%20Phishing%20General%20Security%20Postcard_01.01.2024.pdfالتصيد المستهدف باستخدام معلومات رئيسية عن شخص. نصيحة لجنة التجارة الفيدرالية للمستهلكين بشأن ماريوت علىhttps://consumer.ftc.gov/consumer-alerts/2018/12/marriott-data-breachحذرت المستهلكين من عمليات الاحتيال التي يمكن أن تستغل الخرق. يوفر إرشاد IdentityTheft.gov علىhttps://www.identitytheft.gov/databreachخطوات استجابة عامة للبيانات الشخصية المكشوفة. لا تثبت هذه المصادر أن ضيفًا معينًا عانى من احتيال معين. تدعم مسار المخاطر الناتج عن فئات البيانات.

بيانات السفر لها أيضًا سياق شخصي يتجاوز الاحتيال. يمكن أن تكشف تواريخ الوصول والمغادرة عن الغياب عن المنزل، والسفر للعمل، والسفر الطبي، وزيارات العائلة، أو العلاقات. أرقام جوازات السفر هي معرفات دائمة. يمكن أن تربط معلومات الولاء الإقامات بمرور الوقت. يمكن أن تكشف علامة كبار الشخصيات أو طلب الغرفة عن توقعات الخدمة أو الظروف العائلية. لذلك تنتمي اقتصاديات اتصال إساءة الاستخدام إلى تحليل التأثير حتى حيث لا يتم إثبات احتيال البطاقات.

سؤال تقليل البيانات يتبع. كم من الوقت يجب أن تبقى بيانات الحجوزات السابقة في الأنظمة الحية؟ أي الحقول ضرورية بعد تسجيل المغادرة، وبعد رصيد الولاء، وبعد نوافذ النزاع، وبعد الفترات الضريبية، أو بعد الإمساك القانوني؟ أي الحقول يمكن ترميزها، أو إخفاؤها، أو حذفها، أو فصلها؟ تحتاج النسخ الاحتياطية والتصديرات إلى نفس منطق الاحتفاظ مثل الإنتاج. وإلا يمكن أن تحتفظ قاعدة بيانات قديمة بالبيانات لأنها تظل ملائمة تشغيليًا، وليس لأن كل حقل يظل ضروريًا.

ملاحظة طباعية لسجلات المخاطر الموروثة

يجب أن تكون سجلات أمن النظام المستحوذ عليه مقروءة للمديرين التنفيذيين والمهندسين والمحامين ومقدمي الخدمات والجهات التنظيمية في نفس الوقت. يمكن للنتائج الكثيفة إخفاء الثغرات الحاسمة. تم تضمين كتلة الطباعة التالية لأن عرض المخاطر الموروثة يؤثر على ما إذا كان مالكو السيطرة يرون ما يجب أن يتغير.

بالنسبة للاستحواذ، تعني السجلات القابلة للقراءة خريطة حدود من صفحة واحدة تفصل الحقائق المعروفة، وإقرارات البائع، والادعاءات غير المؤكدة، والاختبارات المطلوبة، وإجراءات بيانات الاعتماد، ونسخ البيانات، وحالة التشفير، وواجبات مقدم الخدمة، وتواريخ التقاعد. إذا كانت هذه العناصر مدفونة في مستندات الصفقة وتصديرات الأدوات، يمكن للمنظمة أن تعتقد أنها قبلت المخاطرة دون معرفة المخاطرة التي قبلتها.

المساءلة من خلال السيطرة العملية

سيطر المهاجم على التسلل غير المصرح به، والثبات، وإساءة استخدام بيانات الاعتماد، وتصدير البيانات. لا يحدد أي سجل عام تمت مراجعته هنا المهاجم أو يحكم على دافع أو انتماء دولة. تبقى المسؤولية عن الوصول الإجرامي مع الفاعل أو الفاعلين الذين نفذوه.

سيطرت ستاروود على البيئة عندما حدث الاختراق الأولي. كانت تملك أو تدير الأنظمة وبيانات الاعتماد والمراقبة التي سمحت للمهاجم بالدخول والثبات قبل استحواذ ماريوت. كما حملت تاريخ خرق نقاط البيع السابق في الصفقة. لا يثبت ذلك أن ستاروود كانت تعلم بوجود المتسلل في الحجوزات. يعني ذلك أن البيئة المخفية كانت كائن الثقة من جانب البائع.

سيطرت ماريوت على البيئة بعد الإغلاق وخطة النقل. بمجرد امتلاكها لستاروود، سيطرت على ما إذا كانت بيانات الاعتماد القديمة قد أعيد تعيينها، والحسابات المميزة مراقبة، وتنبيهات قاعدة البيانات موسعة، والأنظمة الحرجة معززة، وحقول جوازات السفر مقيمة، وادعاءات التشفير مؤكدة، ومسار التقاعد مسرع أو مخفف. كما سيطرت ماريوت على إشعار العملاء والتحديثات العامة بعد الاكتشاف. كانت سيطرتها مقيدة باستمرارية الأعمال والحجم، لكنها لم تكن غائبة.

سيطر مقدمو الخدمات على العمليات المدارة والتنبيه والتصعيد عند حدودهم. يظهر دور أكسنتشر في إدارة قاعدة البيانات وتصعيد تنبيه Guardium لماذا يجب أن يكون للعمليات بطرف ثالث عتبات حادث واضحة، وتسليم الأدلة، وسلطة المتحكم. يمكن أن يكون مزود الخدمة كاشفًا مبكرًا. يجب على المتحكم أن يقرر الإشعار وتحديد النطاق والعلاج.

سيطرت الجهات التنظيمية على التصحيح القابل للتنفيذ. عقوبة مكتب مفوض المعلومات، وتسوية الولايات، وأمر لجنة التجارة الفيدرالية ترجموا دروس الأمن إلى واجبات. لا تثبت كل ادعاء خاص. توضح أن الاستحواذ لا يجمد المسؤولية عند حالة المعرفة قبل الإغلاق. الملكية تجلب واجب اختبار وتحسين الضوابط الموروثة.

سيطر الضيوف على القليل جدًا. حجزوا الغرف، وانضموا إلى برامج الولاء، وقدموا بيانات جواز السفر والاتصال، واعتمدوا على عمليات الفنادق. يمكنهم مراقبة البطاقات أو الاستجابة للإشعارات بعد الحادث. لم يتمكنوا من فحص مراقبة قاعدة بيانات ستاروود، أو تدوير بيانات الاعتماد المميزة، أو التحقق من بيانات التشفير، أو تسريع تقاعد النظام. هذا التباين هو لماذا ينتمي هذا إلى سجل مساءلة.

ما يتطلبه التكامل القابل للتحقق

الدرس في الإصلاح ليس "لا تستحوذ أبدًا على أنظمة قديمة." بل هو أن تكامل الاستحواذ يجب أن يتضمن اكتشاف الحقيقة الأمنية بالأدلة. يجب على المشتري تصنيف الأنظمة الموروثة عالية المخاطر قبل الإغلاق، ثم بدء التحقق بعد الإغلاق فورًا: إعادة تعيين الهوية المميزة، ومراجعة وصول مقدم الخدمة، وصيد نقاط النهاية والخوادم، وتسجيل تصدير قاعدة البيانات، ومقارنة تغطية السيطرة، وجرد التشفير، ومراجعة الاحتفاظ بالبيانات، ورسم خرائط النسخ الاحتياطية، وتقييم مخاطر النقل.

لقاعدة بيانات حجوزات، يجب أن تكون الأدلة على مستوى الحقل والنسخة. أي الجداول تحمل أرقام جوازات السفر؟ أيها تحمل بقايا بطاقات الدفع؟ أيها تحمل رفاق السفر، والأطفال، ومعرفات الولاء، وتفضيلات الاتصال؟ أي الحقول هي نص عادي، ومشفرة، ومجزّأة، أو مرمّزة؟ أي التطبيقات يمكنها طلبها؟ أي المستخدمين يمكنهم تصديرها؟ أي السجلات تظهر نسخ الجدول الكامل؟ أي النسخ الاحتياطية تحتفظ بها؟ أي غرض قانوني أو تجاري يبرر الاحتفاظ؟

بالنسبة لثقة الطرف الثالث، يجب أن يعرف المشتري أي مقدمي الخدمة يديرون النظام، وأي التنبيهات يتلقونها، وأي العتبات تتطلب تصعيدًا، وأي السجلات يحتفظون بها، وأي بيانات اعتماد لديهم، وكيف يتم حوكمة المقاولين من الباطن، وكيف يمكن للمتحكم الحصول على أدلة بعد اختراق مشتبه به. تقرير البائع لا يكفي إذا لم يمكن ربطه بالنظام المحدد وفئات البيانات.

بالنسبة للإشعار، يجب أن تكون المنظمة قادرة على إنتاج شرح خاص بالضيف: أي الحقول، وأي فترة زمنية، وأي مصدر سجل، وأي خطوات حماية، وأي عدم يقين يبقى، وأي تحديثات ستتبع. قد يكون الإشعار الواسع ضروريًا في البداية، لكن يجب توقع التصحيح لاحقًا عندما تتغير الأعداد أو الحقول أو حقائق التشفير.

التقاعد ليس مثل إزالة المخاطر

كانت خطة ماريوت لتقاعد منصة حجوزات ستاروود مهمة تجاريًا وتشغيليًا. يمكن أن يكون التقاعد سيطرة قوية: يقلل من سطح الهجوم المباشر، ويجبر الانتقال إلى منصة أفضل إدارة، ويمكن أن ينهي الاعتماد على بيانات الاعتماد والأدوات القديمة. لكن التقاعد ليس إزالة فورية للمخاطر. يمكن للنظام المقرر إيقاف تشغيله أن يظل شديد الحساسية بينما لا يزال يعالج الحجوزات ويدعم الفنادق ويحتوي على سجلات تاريخية.

النقل لمدة عامين الذي وصفته ماريوت خلق فترة انتقالية. خلال تلك الفترة، كانت المنصة الموروثة لا تزال بحاجة إلى المراقبة والتعزيز ومراجعة بيانات الاعتماد وتسجيل التصدير وتقليل البيانات. تاريخ التقاعد لا يبرر ضعف الضوابط قبل وصول التاريخ. في بعض الحالات يمكن أن يخلق المخاطر المعاكسة: قد تتردد الفرق في الاستثمار في ضوابط لنظام تتوقع إيقاف تشغيله، بينما يستفيد المهاجمون من النافذة المتبقية.

خطة التقاعد الآمنة يجب أن تحتوي على معالم تتجاوز "التوقف عن استخدام النظام لعمليات الأعمال." يجب أن تحدد النسخ الاحتياطية، والنسخ المتماثلة، والتصديرات، والصور الجنائية، وحسابات المسؤولين، وحسابات الخدمة، ووصول البائعين، ومفاتيح التشفير، ومخازن التسجيل، وتغذيات البيانات، والنسخ النهائية. يجب أن تقرر ما يجب الحفاظ عليه لأسباب قانونية أو تجارية وما يجب حذفه أو تحويله. يجب أن تتحقق من أن بيانات الاعتماد المتوقفة لا يمكنها الوصول إلى الأرشيفات. يجب أن تحافظ على الأدلة اللازمة للتقاضي أو مراجعة الجهات التنظيمية دون ترك بيانات غير ضرورية مكشوفة.

تظهر قضية ستاروود لماذا هذا مهم. تم تقاعد قاعدة بيانات الحجوزات الحية بحلول نهاية عام 2018، لكن التحقيق في الاختراق والإجراءات التنظيمية والتقاضي الجماعي وتسويات الولايات وأمر لجنة التجارة الفيدرالية والتصحيح التشفيري استمر لسنوات. يمكن للنظام أن يغادر الإنتاج ويظل محوريًا للمساءلة. سجل ما يحتويه ومن وصل إليه وكيف تمت حمايته وكيف تم التعامل مع النسخ يصبح قاعدة الأدلة لكل إجراء لاحق.

يتفاعل التقاعد أيضًا مع حقوق الضيوف. إذا سأل ضيف ما هي البيانات المتضمنة، لا يمكن أن يختفي الجواب مع النظام القديم. إذا سألت جهة تنظيمية لماذا تم الاحتفاظ بحقل أو كيف تمت حمايته، تحتاج المنظمة إلى سجلات بعد النقل. إذا صححت شركة لاحقًا وصفًا تشفيريًا، يجب أن تفهم سلوك التطبيق القديم والقيم المخزنة جيدًا بما يكفي لشرح التصحيح. إيقاف التشغيل دون الحفاظ على أدلة السيطرة يمكن أن يجعل اكتشاف الحقيقة لاحقًا أكثر صعوبة.

الإشراف التشفيري هو سيطرة إدارية

غالبًا ما يُعالج تصحيح AES-إلى-SHA-1 كملاحظة تقنية ثانوية. من الأفضل فهمه كإشارة سيطرة إدارية. يحمي التشفير الأشخاص فقط عندما تعرف المنظمة ما هي الحماية المطبقة فعليًا. يجب أن تبقى هذه المعرفة من خلال عمليات الاستحواذ وعمليات البائعين والتطبيقات القديمة والإشعارات العامة والتقاضي.

يجب أن يجيب جرد تشفير على مستوى الحقل على عدة أسئلة. ما الحقل المحمي؟ هل التحويل تشفير قابل للعكس، أم تجزئة أحادية الاتجاه، أم ترميز، أم إخفاء، أم اقتطاع، أم طريقة أخرى؟ ما الخوارزمية والوضع المستخدمين؟ هل الأملاح أو المفاتيح موجودة؟ أين يتم تخزين المفاتيح أو الأسرار؟ أي تطبيق يمكنه طلب القيمة الأصلية؟ أي السجلات تظهر الاستخدام؟ أي الإصدارات القديمة استخدمت طريقة مختلفة؟ أي الإشعارات أو السياسات تصف الحماية؟ من لديه السلطة للتصديق على البيان قبل نشره؟

في نظام مستحوذ عليه، قد تكون هذه الإجابات متناثرة عبر مستندات البائع، والكود، وإعدادات قاعدة البيانات، وملاحظات البائع، وذاكرة المطور، وتقارير الامتثال القديمة. يجب أن يفترض المشتري أن التسميات قد تكون خاطئة حتى يتم اختبارها. "محمي" لا يكفي. "مشفر" لا يكفي. اسم حقل ينتهي بـ "رمز" أو "تجزئة" لا يكفي. الأدلة تتطلب فحص القيم المخزنة، واستدعاءات التطبيق، وخدمات المفاتيح، ومسارات الاسترداد.

نتيجة أرقام جوازات السفر تعزز نفس النقطة. لم تكن المشكلة فقط أن ملايين أرقام جوازات السفر كانت غير مشفرة. كانت أن ماريوت تفتقر إلى تقييم مخاطر موثق يشرح لماذا تمت معاملة بعض أرقام جوازات السفر بشكل مختلف عن غيرها. يمكن أن تكون الحماية الانتقائية منطقية. يمكن أن تعكس قيودًا قديمة، أو حاجة تجارية، أو نقلًا مرحليًا. لكن يجب توثيقها ومراجعتها مقابل عواقب التعرض. وإلا تبدو الحماية غير المتكافئة كحادث وليس قرار مخاطر.

يؤثر الإشراف التشفيري أيضًا على جودة الإشعار. إذا أخبرت منظمة الأشخاص أن قيمة بطاقتهم أو جواز سفرهم كانت مشفرة، قد يستنتج الشخص بشكل معقول مخاطر مختلفة عما إذا كانت القيمة مجزّأة بـ SHA-1 أو تركت غير مشفرة. إذا غيرت المنظمة لاحقًا هذا الوصف، يجب أن يقول التصحيح ما تغير، وأي القيم متأثرة، وماذا يعني ذلك لسوء الاستخدام، وما عدم اليقين المتبقي. هذه ليست مجرد نظافة اتصالية. إنها جزء من الإشراف المسؤول على بيانات الهوية.

دليل الاستحواذ يجب أن يسمي المجهولات

تكافئ ثقافة الصفقات الثقة. يحتاج تكامل الأمن إلى قائمة بالمجهولات. يجب أن يعرف المشتري أي أجزاء البيئة الموروثة مؤكدة، وأيها ممثلة من قبل البائع، وأيها مفترضة لاستمرارية الأعمال، وأيها لا تزال غير مختبرة. سجل المخاطر الذي يصنف المجهول كمخاطرة مقبولة أقوى من مذكرة العناية الواجبة التي تخفي المجهول خلف إقرارات واسعة.

بالنسبة لمنصة حجوزات عالمية، يجب أن تشمل المجهولات نسخ البيانات، والحسابات المميزة، ووصول مقدم الخدمة، والأنظمة المواجهة للخارج، وآثار الاختراق القديمة، والبرامج غير المدعومة، وفجوات التسجيل، وحالة التشفير، والاحتفاظ. يجب أن يكون لكل مجهول مالك وتاريخ. سيتم حل بعضها بالنقل. البعض سيحتاج إلى ضوابط تعويضية بينما يظل النظام حيًا. البعض قد يصبح غير مقبول بمجرد أن يفهم المشتري حجم البيانات.

هذا النهج يحمي المشتري أيضًا من النظرة اللاحقة الخاطئة. يعترف بأنه لا يمكن معرفة كل حقيقة قبل الإغلاق. ثم يخلق واجبًا بعد الإغلاق لتقليل عدم اليقين. الفشل ليس عدم القدرة على معرفة كل شيء في اليوم الأول. الفشل هو السماح لعدم اليقين في اليوم الأول أن يصبح عدم يقين في السنة الثانية بينما يستمر النظام الموروث في الاحتفاظ ببيانات الضيوف.

جودة الإشعار تعتمد على جودة التكامل

غالبًا ما يُتعامل مع إشعار العملاء كمشكلة موعد نهائي قانوني. يظهر حادث ستاروود أن جودة الإشعار تعتمد على جودة التكامل قبل وقت طويل من تأكيد الاختراق. إذا كانت المنظمة لا تعرف أي الجداول تحمل أي الحقول، وكيف ترتبط التكرارات بالأشخاص، وكم عدد أرقام جوازات السفر كـنص عادي، وأي القيم محمية، وأي السجلات تنتمي إلى أي مناطق، فإن الإشعار سيكون إما واسعًا أو متأخرًا أو مصححًا أو الثلاثة معًا.

استخدم إشعار ماريوت الأول سقوفًا حذرة لأن المحققين كانوا لا يزالون يصنفون السجلات والتكرارات. قد يكون ذلك لا مفر منه في نظام كبير موروث. لكن درس السيطرة طويل الأجل هو أن كتالوجات بيانات الضيوف يجب أن توجد بالفعل للأنظمة عالية المخاطر. يجب أن تصف غرض الحقل، والحساسية، والمنطقة، والاحتفاظ، وحالة التشفير، وأدوار الوصول، ومسارات التصدير. يجب أن تتم مطابقتها مع محتويات قاعدة البيانات الفعلية، وليس فقط توثيق التطبيق.

يؤثر هذا أيضًا على الجهات التنظيمية. الجهة التنظيمية التي تقيم توقيت الإشعار أو ملاءمتها تحتاج إلى معرفة متى أصبح المتحكم على علم بتورط بيانات شخصية وأي الحقائق كانت متاحة بشكل معقول. إذا كانت عملية التكامل الخاصة بالمتحكم لا تستطيع التمييز بين جدول حسابات وجدول جوازات سفر أو سجل مكرر وضيف فريد، يصبح التحليل القانوني متشابكًا مع الديون التقنية. التكامل الأفضل يقلل من ارتباك الحادث وعدم اليقين القانوني لاحقًا.

ينطبق نفس المبدأ على التصحيحات العامة. تحديث ماريوت لـ SHA-1 في 2024 كان مختلفًا جوهريًا عن وصف التشفير الأصلي. قد يكون التصحيح بعد سنوات هو الفعل المسؤول بمجرد معرفة الحقيقة، لكنه يظهر أيضًا أن سلسلة الأدلة الأصلية لم تكن قوية بما يكفي. يجب أن يتضمن برنامج الأمن بعد الاستحواذ قاعدة بأن الأوصاف التشفيرية العامة يتم التحقق منها من قبل المالكين التقنيين قبل الإشعار وتتم مراجعتها دوريًا إذا تغيرت الأدلة القديمة.

الاعتماد على السحابة داخل الضيافة

تصنف المظروف هذه القضية جزئيًا كاعتماد على خدمة سحابية لأن منصة الحجوزات عملت كبنية تحتية مشتركة لأعمال ضيافة عالمية، حتى لو لم تكن سحابة عامة بالمعنى الحديث. اعتمدت الفنادق ومراكز الاتصال وخدمات الولاء ومقدمو الخدمات المدارة وفرق الشركة على توافر وسلامة منصة مركزية. ركزت تلك المنصة البيانات من العديد من العقارات والولايات القضائية.

هذا الاعتماد هو لماذا أثر الخرق على أكثر من المالك الشركة. أصحاب الامتياز والفنادق المدارة والضيوف وفرق بطاقات الدفع وحاملو جوازات السفر وأعضاء الولاء والجهات التنظيمية ومقدمو الخدمات كلهم كان لهم مصلحة في نفس النظام الموروث. لم يتمكن فندق محلي من فحص مراقبة قاعدة البيانات. لم يتمكن الضيف من معرفة ما إذا كانت حقول جوازات السفر مشفرة. يمكن لمقدم الخدمة تصعيد تنبيه، لكن فقط المتحكم يمكنه تنسيق إشعار الضيوف والاستجابة العالمية.

لتخطيط الاستحواذ، السيطرة العملية هي رسم خرائط الاعتماد. أي وظائف الأعمال تتوقف إذا تم عزل منصة الحجوزات القديمة؟ أي الفنادق لا تزال تعتمد عليها؟ أي تغذيات البيانات تستمر أثناء النقل؟ أي الأطراف الثالثة يمكنها الوصول إليها؟ أي التزامات العملاء تعتمد عليها؟ المشتري الذي يرسم فقط مكونات التكنولوجيا يفوت الضغط التجاري الذي يمكن أن يبقي النظام الخطير حيًا. المشتري الذي يرسم الاعتماد يمكنه تبرير الضوابط التعويضية بينما يستمر النقل.

التقييم النهائي هو تأثير عالٍ وثقة عالية. ورثت ماريوت منصة حجوزات حية ومخترقة. هذه الحقيقة لا تجعل ماريوت هي المتسلل الأصلي أو تثبت أنها كانت تعرف كل التفاصيل قبل الإغلاق. تجعل ماريوت مسؤولة عن الفترة بعد الإغلاق التي سيطرت فيها على النظام المستحوذ عليه، وعالجت بيانات الضيوف، وكان عليها تحويل ثقة الطرف الثالث إلى سيطرة مؤكدة. يمكن للاستحواذ شراء علامة تجارية بين ليلة وضحاها. لا يمكنه شراء اليقين. اليقين يجب أن يُبنى، ويُختبر، ويُعرض.