De acordo com uma notícia divulgada no website da Trend Micro, foram descobertas informações pessoais identificáveis (PII) roubadas de uma cadeia de hotéis com sede na China que estavam a ser vendidas num fórum da Deep Web que eles estavam a monitorizar.
Análises posteriores revelaram que os dados roubados não eram apenas os PII dos clientes chineses, mas também incluíam os clientes da cadeia de hotéis dos países ocidentais e da Ásia Oriental. Os dados de amostra observados foram decifrados e alguns dos quais estavam em ficheiros CSV, SQL e TXT.
Ao que consta, os dados roubados dizem respeito ao data breach reportado em 29 de agosto que expẽm 130 milhões de PII.
We believe this stolen data is related to the data breach(reported on August 29) that exposed up to 130 million PII. The news that reported the data breach matched with an advertisement we saw in the dark web selling the stolen data for eight bitcoins (equivalent to more than US$58,000 as of September 5, 2018).
Os anúncios alegavam que os dados roubados incluíam nomes, números de telefones, endereços de e-mail, números de identificação e endereços residenciais, entre outros, totalizando até 53 GB (cerca de 123 milhões de registos).
Outro conjunto de dados roubados também incluíam informações do cliente, como horário de check-in, nome do cliente, número de identificação, endereço residencial, data de nascimento e número de identificação interno – 22,3 GB (cerca de 130 milhões de informações de identificação).
Outro conjunto de dados (history.csv) incluíam nomes de clientes, números de quartos, números de cartões, números de telefone, endereços de e-mail, horários de check-in e partida e números de identificação de hotel – 66,2 GB (cerca de 240 milhões de registros).
De acordo com o anúncio, esses conjuntos de dados roubados foram lançados em 14 de agosto de 2018. Os dados da amostra também estavam disponíveis, oferecidos num ficheiro compactado de 1,37 MB.
Dada a aparente rentabilidade dos dados roubados, este anúncio naturalmente atraiu o interesse de potenciais compradores. Há um comprador específico interessado em dados somente para mulheres. Outro threat actor (como mostrado na Figura 3) está a vender uma vulnerabilidade num sistema de gestão de hotéis; o anúncio também mostra o URL do portal.
Os dados da cadeia de hotéis são apenas uma parte do que está a ser vendido no fórum da deep web. A seguir segue uma listagem de outros dados que estão a ser vendidos no fórum da deep web.
- Student-, hotel-, and financial investment-related PII. This PII included full names, Alipay accounts, WeChat bills, debit card, and other finance-related data.
- Banking and ID card information; interestingly, this is sold in the form of pictures of people holding the IDs, likely done as proof of identification.
- PII of contestants of a national pageant. The PII included names, physical attributes, and social media accounts.
- Stolen Taiwanese and Brazilian credit card data (payment can be sent to the user’s Steam account).
- PII of residents in Beijing.
- China national passports and other documents.
- Personal pictures of young female users in QQ accounts.