Zusammenfassung

  • Hyatt offenbarte Zahlungskartenvorfälle in den Jahren 2015 und 2017, die einen unbefugten Zugriff auf Kartendaten in bestimmten Hotels und Verkaufsstellen betrafen. Die Untersuchung von 2015 beschrieb Schadsoftware, die die Zahlungsabwicklung vor Ort in von Hyatt betriebenen Einrichtungen, hauptsächlich Restaurants, beeinträchtigte; der Vorfall von 2017 betraf Karten, die manuell eingegeben oder an Rezeptionen bestimmter von Hyatt betriebener Einrichtungen durchgezogen wurden.
  • Die Verantwortungsfrage lautet: Wer hatte die praktische Kontrolle über die Segmentierung der Verkaufsstellen, die Erkennung von Zahlungskarten-Malware, die Benachrichtigung von Franchisenehmern und Immobilien, die Tokenisierung, die Akquisiteur-Beweise und die Fähigkeit des Kunden zu verstehen, welcher Aufenthalt oder welche Verkaufsstelle betroffen war?
  • Dieser Fall beruht auf der verteilten Hotelzahlungsinfrastruktur zwischen Immobilien, Restaurants, Rezeptionen, Franchise-Vereinbarungen und Kartenabwicklungspartnern, wobei Segmentierung und Genauigkeit der Benachrichtigungen den Arbeitsaufwand für den Kunden bestimmen.
  • Kunden, Kartenaussteller, Acquirer, Hotelbetreiber, Franchisenehmer, Restaurants und Reiseverwalter mussten das Zahlungsrisiko auf bestimmte Orte und Zeitfenster abbilden.
  • Die öffentliche Akte stützt eine hohe Vertrauenswürdigkeit der Verantwortungsfeststellung hinsichtlich der Kontrollpflichten und Beweislücken. Sie stützt nicht die Erfindung privater Fakten zu jeder Immobilienkonfiguration, jeder Acquirer-Aktion oder jedem Karteninhaberverlust.

Beweisregister und seine Verwendung

Dieser Artikel behandelt die öffentliche Akte als geschichtete Beweislage und nicht als eine einzige, übergreifende Erzählung. Hyatts Pressemitteilungen und staatlich bereitgestellte Benachrichtigungen werden für das verwendet, was Hyatt öffentlich zu den Vorfällen von 2015 und 2017 erklärt hat. Sicherheitsberichte werden für den zeitlichen Ablauf und den Kontext von Hotelzahlungen verwendet. Die Standards für Zahlungskarten, Verbraucherberatung, Regierungsressourcen und Verweise auf Angreifertechniken dienen dazu, Segmentierung, Erkennung, Verarbeitung von Zahlungsdaten und Pflichten der betroffenen Parteien einzuordnen.

#Öffentliches RegisterVerwendung in dieser Analyse
1Hyatt-Mitteilung über bösartige AktivitätPrimäre Unternehmenserklärung verwendet für die erste Mitteilung zum Vorfall von 2015 und Kundenberatung.
2Hyatt-Mitteilung zum Abschluss der UntersuchungPrimäre Unternehmenserklärung verwendet für Orte, Datenkategorien, Zeitfenster und Malware-Beschreibung im Jahr 2015.
3Staatlich bereitgestellte Kopie der Hyatt-BenachrichtigungKopie der Benachrichtigung verwendet für den Formulierung der Kundenaktion und den Rahmen der betroffenen Orte.
4KrebsOnSecurity-Bericht über den Hyatt-Kartendatenverstoß 2015Sicherheitsbericht verwendet für den Kontext der betroffenen Orte und den Rahmen der Hotelzahlungssysteme.
5ABC News-Bericht über den Hyatt-Datenverstoß 2015Öffentlicher Bericht verwendet für das Ausmaß von 2015 und den Kontext der Kundenbenachrichtigung.
6KrebsOnSecurity-Bericht über den Hyatt-Kartendatenverstoß 2017Sicherheitsbericht verwendet für den zeitlichen Ablauf des zweiten Kartenvorfalls und den Kontext der betroffenen Orte.
7Vom Montana DOJ bereitgestellte Hyatt-Benachrichtigung 2017Benachrichtigungsdokument verwendet für Kartendaten der Rezeption, Zeitfenster und Kundenberatung.
8Reuters via Yahoo Finance über den Hyatt-Datenverstoß 2017Öffentlicher Bericht verwendet für den Kontext von 2017 und 41 Immobilien.
9SecurityWeek-Bericht über den Hyatt-Datenverstoß 2017Sicherheitsbericht verwendet für den Kontext von Malware und Hotelcomputersystemen.
10TechCrunch-Bericht über den Hyatt-Datenverstoß 2017Öffentlicher Bericht verwendet für den zeitlichen Ablauf des Zahlungssystemverstoßes.
11PCI Security Standards Council Seite zu StandardsVerwendet für den Kontext von Sicherheitskontrollen für Zahlungskarten.
12FTC Start with Security-LeitfadenVerwendet für den Rahmen der Zugriffskontrolle, Segmentierung und angemessenen Sicherheit.
13NIST Cybersecurity FrameworkVerwendet für das Vokabular von Identifizierung, Schutz, Erkennung, Reaktion und Wiederherstellung.
14CIS Critical Security ControlsVerwendet für die Kontrollklassen von Inventar, Konto, Protokollierung, Segmentierung und Überwachung.
15MITRE-Technik: Lokale SystemdatenVerwendet für den Risikorahmen lokaler Zahlungssystemdaten.
16MITRE-Technik: EingabeerfassungVerwendet für den Risikorahmen der Erfassung von Kartendaten an Verkaufsstellen.
17MITRE-Technik: Exfiltration über C2-KanalVerwendet für den Kontext der Exfiltrationskontrolle.
18CISA Secure by Design-RessourcenVerwendet für den Rahmen von Sicherheit als Standard und Herstellerverantwortung.

Der Verantwortungsrahmen ist enger als Schuldzuweisung und weiter als ein Kartendatenverstoß-Titel

...