فضيحة فندق Marriott.. لماذا تقوم الفنادق بجمع بيانات جواز السفر على أي حال؟!

إذا كنت تعتقد أن الخوف من اختراق خصوصيتك وبياناتك ومعلوماتك يتوقف فقط على حساباتك البنكية ومواقع التواصل الإجتماعي والعناوين الإلكترونية فهذا أصبح من الماضي فكل ما يتم تداوله إلكترونيًا معرض للإختراق حتى وإن كان غير مهمًا لك.

في الرابع من شهر يناير الحالي أعلنت سلسلة فنادق ماريوت العالمية Marriott International Inc إن الاختراق الكبير لقاعدة بيانات عملاء ونزلائها في فنادقها المنتشرة على مستوى العالم والتي تم الإبلاغ عنها لأول مرة في شهر نوفمبر من العام 2018  كانت أسوأ كثيرًا مما كان يُعتقد في البداية.

ذكرت إدارة سلسلة الفنادق العالمية أن خرق قاعدة بيانات عملائها  كان متواصلًا منذ أربعة سنوات مضت ولم تكن وليد اللحظة حيث تمكن المتسللون من الوصول إلى أرقام جوازات السفر “غير المشفرة” لأكثر من 50 مليون نزيل، وهذا يعني أن شخص ما كان يعمل لمدة أربع سنوات في الوصول غير المقيد إلى قاعدة بيانات ضخمة للمسافرين حول العالم ومعلوماتهم الشخصية وربما المالية، ويعد هذا واحدًا من أكبر الاختراقات في التاريخ.

وما زالت ماريوت Marriott تحاول أن تُحدد بالضبط المعلومات التي تم الوصول إليها ويعتقد أن بيانات أكثر من “327” مليون من هؤلاء النزلاء قد تم أخذ معلوماتهم الشخصية بما في ذلك على سبيل المثال لا الحصر:

لا يخفى على الكثيرين الحرب الشرسة التي تدور في الفضاء الإلكتروني بين العديد من القوى العظمى التي جعلت اختراق مواقع الدول الأخرى السلاح الأبرز في هذه الحرب، ومع تكشف هذا الاختراق لسلسلة الفنادق الأمريكية اتجهت أصابع الاتهام بشكل رئيسي لجمهورية الصين خاصة مع حرب المعلومات التي تدور بين الولايات المتحدة الأمريكية والصين.

حيث أشار وزير الخارجية الأمريكية مايك بومبيو Mike Pompeo إن المسؤولين الأمريكيين يعتقدون أن اختراق ماريوت Marriott جزء من جهود تجسسية وجهتها بكين واستهدفت بها العديد من المواقع الأخرى مثل شركات التأمين الصحي وقاعدة بيانات التوظيف في الخدمة المدنية الأمريكية.

وما يجعل هذا الاختراق مختلفًا هو حصول المتسللين على الكثير من أرقام جواز السفر غير المشفرة والذي يمكن أن يكون أمر مثير للقلق بشكل خاص من واقع أن هذه الأعداد الكبيرة من أرقام جوازات السفر هذه ستسمح للجهة المخترقة بتتبع الأشخاص أثناء تنقلهم حول العالم بالإضافة إلى ذلك فإن الحصول على قاعدة بيانات سلسلة الفنادق هذه قد تسمح باستنباط الاستنتاجات المتعلقة بالنزلاء وتحركاتهم حول العالم مما يمكن أن يسبب مشاكل لموظفي الحكومة أو كل شخص يخشى على معلوماته وبياناته.

وفي حالة اختراق ماريوت Marriott سنجد أن هذا الامر مثير للقلق لكثير من الأسباب أهمها: إن الحكومة الصينية هي المشتبه الرئيسي في الاختراق ومن المرجح أن تستخدم أرقام جوازات السفر هذه للتجسس على حركات الناس وتحركاتهم في جميع أنحاء العالم.

مما يطرح العديد من الأسئلة: ما الذي تفعله إدارة فندق ماريوت Marriott بأرقام جوازات السفر في المقام الأول؟ ولماذا أصبحت الفنادق التي اعتدنا أن نجعلها محطة قصيرة للوقوف والاستراحة في طريقنا مستودع بيانات آخر يمكن أن يشكل خطرًا علينا لتتبع كل حركة لدينا؟!

في الواقع أن هذا الخطأ لا يقع على هذه الفنادق حيث أن قرار جمع وتخزين معلومات الهوية بما في ذلك جوازات السفر يأتي من الحكومة أو جهة إنفاذ القانون في المكان الذي يقع فيه الفندق، وهذا ما ذكرته كاتي موسوريس Katie Moussouris الخبيرة الأمنية والرئيسة التنفيذية لشركة Luta Security الأمنية:

وسلسلة فنادق ماريوت Marriott فعلت هذا الأمر إمتثالًا للقانون المحلي حيث يتم طلب جوازات السفر على مستوى الفندق المحلي ويتم تنظيم هذا الطلب جزئيًا حسب الدولة أو الولاية أو في بعض الحالات اللوائح الخاصة بالمدينة وهذا هو السبب في عدم وجود عملية أو سياسة عامة واحدة تنظم عمل هذه الفنادق.

وفي طريقها لاحتواء هذا الأمر ذكرت سلسلة فنادق ماريوت Marriott أنها لا تقوم بتخزين معلومات جواز السفر في قاعدة بيانات مركزية وأنها تقوم بالتخلص التدريجي من قاعدة بيانات موقع ستاروود Starwood – الطرف الثالث الذي يقوم بعمل الحجوزات – وأضافت:

تقول موسوري:

وتضيف:

عند النظر لباقي الدول نجد أن الإتحاد الأوروبي يطلب من الفنادق في الدول الأعضاء جمع معلومات وبيانات جوازات سفر النزلاء ولكن كل دولة لديها لديها لوائحها ونظمها في طريقة تعاملها مع هذه المعلومات، على سبيل المثال في إيطاليا تقدم الفنادق معلومات النزلاء تلقائيًا إلى السلطات لكن هذا ليس هو الحال في جميع أنحاء أوروبا حيث تتباين سياسة جمع معلومات الهوية بين المدن والولايات في الولايات المتحدة.

الامتثال لتوجيهات أجهزة إنفاذ القانون المحلي هو الأمر الأساسي التي يذكره الجميع كمرجع لجمع وتخزين هذه المعلومات ولكن قد لا يكون هذا هو الدافع الوحيد، حيث تقول ريبيكا هيرولد Rebecca Herold وهي خبيرة في أمن المعلومات ومستشارة للشركات متعددة الجنسيات والتي تعرف أيضا باسم “أستاذ الخصوصية“:

وتضيف قائلة:

مع وجود فندق ضخم مثل ماريوت فإنه يوجد العديد من المواقع الأخرى تحت العديد من الأسماء المختلفة التي تتبع لها وبهذه الطريقة يمكنهم من خلالها تتبع مختلف الضيوف الذين يدخلون ويخرجون من بيئتهم بالإضافة إلى تلبية قوانين البلاد.

لكن “الامتثال للقانون المحلي” أصبح الآن أصعب مما كان عليه في الماضي بفضل قانون اللائحة العامة لحماية البيانات  General Data Protection Regulations “GDPR” وقوانين خصوصية البيانات الأخرى قيد النظر فإذا كانت الشركة تجمع بيانات العملاء فإن عليها أيضًا واجب حمايتها.

اقرأ أيضًا: موجة من تحديثات سياسة الخصوصية وشروط الخدمة على مواقع الإنترنت… فما السبب؟

إذا كانت هناك قوانين تتطلب منك تخزين معلومات تعريف شخصية وهناك قوانين تحافظ عليها آمنة وخاصة ، فما الذي تفعله الشركات العالمية حاليًا للتدقيق والتأكد من قدرتها على تلبية هذه المتطلبات؟!

الإجراء المتبع هو يجب أن يكون هناك نوع من الحل الوسط العملي حيث يتم تطبيق إجراءات أمان وخصوصية البيانات بشكل شامل في الأماكن المطلوبة لتخزين هذه المعلومات وفي حالة خرق ماريوت هذا هو المكان الذي يجب أن ينتبه له الجميع، في ايامنا هذه يبدو من المستحيل أن تدخل إلى فندق خاصة ذات الخمس نجوم بإسم وهوية مختلفة ولكن لا يزال من الممكن التحقق من الدخول والخروج دون خوف من المراقبة غير القانونية وسرقة الهوية.

وحالها كحال جميع الشركات التي تم اختراقها خاصة العملاقة أقامت سلسلة فنادق ماريوت موقعًا مخصصًا على الإنترنت ومركزًا للاتصال للإجابة على الأسئلة المتعلقة بالاختراق مع توفير Web Watcher للعملاء الذين استخدموا خدمة ستاروود Starwood بين عامي 2014 وسبتمبر 2018 وهي خدمة توفر تنبيهًا إذا ظهرت بياناتك في أسواق القراصنة مع أسفها البالغ لهذا الحادث لكن هذا الشعور قد لا ينقذ خصوصية عملائها بعد أن أصبحوا في العراء الآن.