MGM hotellets datalæk i 2019 er langt større end oprindeligt rapporteret, og antages nu at have påvirket mere end 142 millioner hotelgæster, hvor det oprindelige tal var 10,6 millioner, altså over det tidobbelte.
De nye tal blev synlig i løbet af weekenden, efter at en hacker solgte hotellets data i en annonce, der blev offentliggjort på the dark web, som er en portal for de lyssky forretninger på internettet..
Ifølge annoncen sælger hackeren detaljerne om cirka 142 millioner MGM-hotelgæster til en pris på lidt over 2.900 $.
Hackeren hævder at have indhentet hotellets data, efter at have brudt igennem DataViper, en overvågningstjeneste for datalækage, der drives af Night Lion Security.
Grundlæggeren af Night Lion Security, Vinny Troia hævder dog at hans firma aldrig havde ejet en kopi af den fulde MGM-database, og at hackerne blot forsøger at ødelægge hans virksomheds omdømme.
Hotellet siger i en udtagelse, at det har informeret alle de påvirkede gæster
MGM bruddet fandt sted i sommeren 2019, da en hacker fik adgang til en af hotellets cloud-servere og stjal information om hotellets tidligere gæster.
Søndag udsendte MGM en erklæring, hvori de hævdede, at de var klar over omfanget af overtrædelsen.
MGM fik allerede kendskab til hændelsen sidste år, men offentliggjorde aldrig sikkerhedsovertrædelsen. De underrettede kun de påvirkede kunder i henhold til lokale lovgivninger om anmeldelse af datalæk af data.
Sikkerhedsbruddet kom frem i februar 2020, efter en større gruppe på over 10 millioner MGM-hotelgæstes data blev tilbudt som en gratis download på et hackingforum. På det tidspunkt indrømmede MGM at have lidt et sikkerhedsbrud, men virksomheden afslørede ikke det fulde omfang af bruddet.
En talsmand for MGM påpegede at langt de fleste data bestod af kontaktoplysninger som navne, postadresser og e-mail-adresser.
Finansielle oplysninger, ID eller personnummer samt reservationsoplysninger på hotelopholdet var ikke inkluderet, sagde MGM i februar, hvilket skulle være blevet bekræftet fra flere kilder som har været i stand til at gennemgå nogle af de oplysninger der var lækket fra MGM hotellet. Både de oprindelige 10 millioner kunders data fra februar, samt et nyere antal lækkede kunde informationer er blevet verificeret som værende kontaktoplysninger som navne, postadresser og e-mail adresser.
Der var dog også oplysninger som fødselsdato og telefonnumre, og kilder har ved at kontakte tidligere hotelgæster kunne bekræftes at der var tale om direkte datalæk.
Det vides dog ikke med sikkerhed om de lækkede MGM data er omfattet af flere end de 142 millioner der på nuværende tidspunkt er kendskab til.
Irina Nesterovsky, leder af forskning hos firmaet KELA, har tidligere fortalt tilbage i februar, at MGM-dataene havde cirkuleret og blev solgt i private hackingcirkler siden mindst juli 2019.
Der har et stykke tid floreret promoverende indlæg om MGM data læk på mere end 200 millioner hotelgæster på russisk talende hackingfora, men det egentlige tal kendes ikke.
