Zusammenfassung
- Hyatt offenbarte Zahlungskartenvorfälle in den Jahren 2015 und 2017, die einen unbefugten Zugriff auf Kartendaten in bestimmten Hotels und Verkaufsstellen betrafen. Die Untersuchung von 2015 beschrieb Schadsoftware, die die Zahlungsabwicklung vor Ort in von Hyatt betriebenen Einrichtungen, hauptsächlich Restaurants, beeinträchtigte; der Vorfall von 2017 betraf Karten, die manuell eingegeben oder an Rezeptionen bestimmter von Hyatt betriebener Einrichtungen durchgezogen wurden.
- Die Verantwortungsfrage lautet: Wer hatte die praktische Kontrolle über die Segmentierung der Verkaufsstellen, die Erkennung von Zahlungskarten-Malware, die Benachrichtigung von Franchisenehmern und Immobilien, die Tokenisierung, die Akquisiteur-Beweise und die Fähigkeit des Kunden zu verstehen, welcher Aufenthalt oder welche Verkaufsstelle betroffen war?
- Dieser Fall beruht auf der verteilten Hotelzahlungsinfrastruktur zwischen Immobilien, Restaurants, Rezeptionen, Franchise-Vereinbarungen und Kartenabwicklungspartnern, wobei Segmentierung und Genauigkeit der Benachrichtigungen den Arbeitsaufwand für den Kunden bestimmen.
- Kunden, Kartenaussteller, Acquirer, Hotelbetreiber, Franchisenehmer, Restaurants und Reiseverwalter mussten das Zahlungsrisiko auf bestimmte Orte und Zeitfenster abbilden.
- Die öffentliche Akte stützt eine hohe Vertrauenswürdigkeit der Verantwortungsfeststellung hinsichtlich der Kontrollpflichten und Beweislücken. Sie stützt nicht die Erfindung privater Fakten zu jeder Immobilienkonfiguration, jeder Acquirer-Aktion oder jedem Karteninhaberverlust.
Beweisregister und seine Verwendung
Dieser Artikel behandelt die öffentliche Akte als geschichtete Beweislage und nicht als eine einzige, übergreifende Erzählung. Hyatts Pressemitteilungen und staatlich bereitgestellte Benachrichtigungen werden für das verwendet, was Hyatt öffentlich zu den Vorfällen von 2015 und 2017 erklärt hat. Sicherheitsberichte werden für den zeitlichen Ablauf und den Kontext von Hotelzahlungen verwendet. Die Standards für Zahlungskarten, Verbraucherberatung, Regierungsressourcen und Verweise auf Angreifertechniken dienen dazu, Segmentierung, Erkennung, Verarbeitung von Zahlungsdaten und Pflichten der betroffenen Parteien einzuordnen.
| # | Öffentliches Register | Verwendung in dieser Analyse |
|---|---|---|
| 1 | Hyatt-Mitteilung über bösartige Aktivität | Primäre Unternehmenserklärung verwendet für die erste Mitteilung zum Vorfall von 2015 und Kundenberatung. |
| 2 | Hyatt-Mitteilung zum Abschluss der Untersuchung | Primäre Unternehmenserklärung verwendet für Orte, Datenkategorien, Zeitfenster und Malware-Beschreibung im Jahr 2015. |
| 3 | Staatlich bereitgestellte Kopie der Hyatt-Benachrichtigung | Kopie der Benachrichtigung verwendet für den Formulierung der Kundenaktion und den Rahmen der betroffenen Orte. |
| 4 | KrebsOnSecurity-Bericht über den Hyatt-Kartendatenverstoß 2015 | Sicherheitsbericht verwendet für den Kontext der betroffenen Orte und den Rahmen der Hotelzahlungssysteme. |
| 5 | ABC News-Bericht über den Hyatt-Datenverstoß 2015 | Öffentlicher Bericht verwendet für das Ausmaß von 2015 und den Kontext der Kundenbenachrichtigung. |
| 6 | KrebsOnSecurity-Bericht über den Hyatt-Kartendatenverstoß 2017 | Sicherheitsbericht verwendet für den zeitlichen Ablauf des zweiten Kartenvorfalls und den Kontext der betroffenen Orte. |
| 7 | Vom Montana DOJ bereitgestellte Hyatt-Benachrichtigung 2017 | Benachrichtigungsdokument verwendet für Kartendaten der Rezeption, Zeitfenster und Kundenberatung. |
| 8 | Reuters via Yahoo Finance über den Hyatt-Datenverstoß 2017 | Öffentlicher Bericht verwendet für den Kontext von 2017 und 41 Immobilien. |
| 9 | SecurityWeek-Bericht über den Hyatt-Datenverstoß 2017 | Sicherheitsbericht verwendet für den Kontext von Malware und Hotelcomputersystemen. |
| 10 | TechCrunch-Bericht über den Hyatt-Datenverstoß 2017 | Öffentlicher Bericht verwendet für den zeitlichen Ablauf des Zahlungssystemverstoßes. |
| 11 | PCI Security Standards Council Seite zu Standards | Verwendet für den Kontext von Sicherheitskontrollen für Zahlungskarten. |
| 12 | FTC Start with Security-Leitfaden | Verwendet für den Rahmen der Zugriffskontrolle, Segmentierung und angemessenen Sicherheit. |
| 13 | NIST Cybersecurity Framework | Verwendet für das Vokabular von Identifizierung, Schutz, Erkennung, Reaktion und Wiederherstellung. |
| 14 | CIS Critical Security Controls | Verwendet für die Kontrollklassen von Inventar, Konto, Protokollierung, Segmentierung und Überwachung. |
| 15 | MITRE-Technik: Lokale Systemdaten | Verwendet für den Risikorahmen lokaler Zahlungssystemdaten. |
| 16 | MITRE-Technik: Eingabeerfassung | Verwendet für den Risikorahmen der Erfassung von Kartendaten an Verkaufsstellen. |
| 17 | MITRE-Technik: Exfiltration über C2-Kanal | Verwendet für den Kontext der Exfiltrationskontrolle. |
| 18 | CISA Secure by Design-Ressourcen | Verwendet für den Rahmen von Sicherheit als Standard und Herstellerverantwortung. |
Der Verantwortungsrahmen ist enger als Schuldzuweisung und weiter als ein Kartendatenverstoß-Titel
...

