فضيحة فندق Marriott.. لماذا تقوم الفنادق بجمع بيانات جواز السفر على أي حال؟!
إذا كنت تعتقد أن الخوف من اختراق خصوصيتك وبياناتك ومعلوماتك يتوقف فقط على حساباتك البنكية ومواقع التواصل الإجتماعي والعناوين الإلكترونية فهذا أصبح من الماضي فكل ما يتم تداوله إلكترونيًا معرض للإختراق حتى وإن كان غير مهمًا لك.
في الرابع من شهر يناير الحالي أعلنت سلسلة فنادق ماريوت العالمية Marriott International Inc إن الاختراق الكبير لقاعدة بيانات عملاء ونزلائها في فنادقها المنتشرة على مستوى العالم والتي تم الإبلاغ عنها لأول مرة في شهر نوفمبر من العام 2018 كانت أسوأ كثيرًا مما كان يُعتقد في البداية.
كيف بدأت هذه الإختراقات؟!
ذكرت إدارة سلسلة الفنادق العالمية أن خرق قاعدة بيانات عملائها كان متواصلًا منذ أربعة سنوات مضت ولم تكن وليد اللحظة حيث تمكن المتسللون من الوصول إلى أرقام جوازات السفر “غير المشفرة” لأكثر من 50 مليون نزيل، وهذا يعني أن شخص ما كان يعمل لمدة أربع سنوات في الوصول غير المقيد إلى قاعدة بيانات ضخمة للمسافرين حول العالم ومعلوماتهم الشخصية وربما المالية، ويعد هذا واحدًا من أكبر الاختراقات في التاريخ.
وما زالت ماريوت Marriott تحاول أن تُحدد بالضبط المعلومات التي تم الوصول إليها ويعتقد أن بيانات أكثر من “327” مليون من هؤلاء النزلاء قد تم أخذ معلوماتهم الشخصية بما في ذلك على سبيل المثال لا الحصر:
الاسم والعنوان البريدي ورقم الهاتف وعنوان البريد الإلكتروني ورقم جواز السفر ومعلومات حساب ضيف ستاروود المفضل “SPG” وتاريخ الميلاد والجنس ومعلومات الوصول والمغادرة وتاريخ الحجز تفضيلات الاتصال.
ما هي خطورة هذا الإختراق على عملاء ونزلاء الفندق؟!
لا يخفى على الكثيرين الحرب الشرسة التي تدور في الفضاء الإلكتروني بين العديد من القوى العظمى التي جعلت اختراق مواقع الدول الأخرى السلاح الأبرز في هذه الحرب، ومع تكشف هذا الاختراق لسلسلة الفنادق الأمريكية اتجهت أصابع الاتهام بشكل رئيسي لجمهورية الصين خاصة مع حرب المعلومات التي تدور بين الولايات المتحدة الأمريكية والصين.
حيث أشار وزير الخارجية الأمريكية مايك بومبيو Mike Pompeo إن المسؤولين الأمريكيين يعتقدون أن اختراق ماريوت Marriott جزء من جهود تجسسية وجهتها بكين واستهدفت بها العديد من المواقع الأخرى مثل شركات التأمين الصحي وقاعدة بيانات التوظيف في الخدمة المدنية الأمريكية.
وما يجعل هذا الاختراق مختلفًا هو حصول المتسللين على الكثير من أرقام جواز السفر غير المشفرة والذي يمكن أن يكون أمر مثير للقلق بشكل خاص من واقع أن هذه الأعداد الكبيرة من أرقام جوازات السفر هذه ستسمح للجهة المخترقة بتتبع الأشخاص أثناء تنقلهم حول العالم بالإضافة إلى ذلك فإن الحصول على قاعدة بيانات سلسلة الفنادق هذه قد تسمح باستنباط الاستنتاجات المتعلقة بالنزلاء وتحركاتهم حول العالم مما يمكن أن يسبب مشاكل لموظفي الحكومة أو كل شخص يخشى على معلوماته وبياناته.
وفي حالة اختراق ماريوت Marriott سنجد أن هذا الامر مثير للقلق لكثير من الأسباب أهمها: إن الحكومة الصينية هي المشتبه الرئيسي في الاختراق ومن المرجح أن تستخدم أرقام جوازات السفر هذه للتجسس على حركات الناس وتحركاتهم في جميع أنحاء العالم.
مما يطرح العديد من الأسئلة: ما الذي تفعله إدارة فندق ماريوت Marriott بأرقام جوازات السفر في المقام الأول؟ ولماذا أصبحت الفنادق التي اعتدنا أن نجعلها محطة قصيرة للوقوف والاستراحة في طريقنا مستودع بيانات آخر يمكن أن يشكل خطرًا علينا لتتبع كل حركة لدينا؟!
في الواقع أن هذا الخطأ لا يقع على هذه الفنادق حيث أن قرار جمع وتخزين معلومات الهوية بما في ذلك جوازات السفر يأتي من الحكومة أو جهة إنفاذ القانون في المكان الذي يقع فيه الفندق، وهذا ما ذكرته كاتي موسوريس Katie Moussouris الخبيرة الأمنية والرئيسة التنفيذية لشركة Luta Security الأمنية:
إن فكرة وجود فندق كمكان يمكنك أن تذهب إليه وتكون مجهولًا ليست صحيحة على مستوى العالم، الكثير من الدوافع وراء ذلك هو لأغراض إنفاذ القانون، بوجود أو بدون اختراق من قوة أجنبية معادية تكون الفنادق طريقة يمكن للحكومات في جميع أنحاء العالم أن تبقى أعينها مركزة على مواطنيها وزائريها أينما ذهبوا”.
وسلسلة فنادق ماريوت Marriott فعلت هذا الأمر إمتثالًا للقانون المحلي حيث يتم طلب جوازات السفر على مستوى الفندق المحلي ويتم تنظيم هذا الطلب جزئيًا حسب الدولة أو الولاية أو في بعض الحالات اللوائح الخاصة بالمدينة وهذا هو السبب في عدم وجود عملية أو سياسة عامة واحدة تنظم عمل هذه الفنادق.
وفي طريقها لاحتواء هذا الأمر ذكرت سلسلة فنادق ماريوت Marriott أنها لا تقوم بتخزين معلومات جواز السفر في قاعدة بيانات مركزية وأنها تقوم بالتخلص التدريجي من قاعدة بيانات موقع ستاروود Starwood – الطرف الثالث الذي يقوم بعمل الحجوزات – وأضافت:
بينما احتفظ موقع ستاروود Starwood بهذه المعلومات في نظام الحجز المركزي لا يقوم نظام الحجز المركزي في سلسلة فنادق ماريوت Marriott بتخزين معلومات جواز السفر على نظام الحجز المركزي الخاص بنا وبدلاً من ذلك يمكن جمع هذه المعلومات والاحتفاظ بها على مستوى الفنادق المحلية وكما هو مشار إليه قامت الشركة بالتخلص التدريجي من تشغيل قاعدة بيانات حجز ستاروود Starwood اعتبارًا من نهاية عام 2018″
تقول موسوري:
إن هذا المنطق حقيقي ومنطقي في نفس الوقت حيث أن الفنادق تقوم بتجميع معلومات الهوية حتى تتمكن من إجراء فحوصات خلفية بالإضافة إلى العمل كمرجع للحكومات إذا حدث أي شيء إجرامي، حيث إن تطبيق إنفاذ القانون يعني أن الفنادق قد تحتاج إلى تخزين بيانات نزلائها وليس فقط التحقق وتحديد الهوية
وتضيف:
انها حقيقة قد تحتاج الى التحقق من قاعدة بيانات أي مشتبه به وتختلف تطبيق هذه اللوائح بين الدول
عند النظر لباقي الدول نجد أن الإتحاد الأوروبي يطلب من الفنادق في الدول الأعضاء جمع معلومات وبيانات جوازات سفر النزلاء ولكن كل دولة لديها لديها لوائحها ونظمها في طريقة تعاملها مع هذه المعلومات، على سبيل المثال في إيطاليا تقدم الفنادق معلومات النزلاء تلقائيًا إلى السلطات لكن هذا ليس هو الحال في جميع أنحاء أوروبا حيث تتباين سياسة جمع معلومات الهوية بين المدن والولايات في الولايات المتحدة.
هل الفنادق بريئة وإنها تنفذ طلبات الحكومات فقط كما تقول؟!
الامتثال لتوجيهات أجهزة إنفاذ القانون المحلي هو الأمر الأساسي التي يذكره الجميع كمرجع لجمع وتخزين هذه المعلومات ولكن قد لا يكون هذا هو الدافع الوحيد، حيث تقول ريبيكا هيرولد Rebecca Herold وهي خبيرة في أمن المعلومات ومستشارة للشركات متعددة الجنسيات والتي تعرف أيضا باسم “أستاذ الخصوصية“:
يتم جمع المعلومات لأسباب متعددة، بالإضافة إلى وجود قاعدة بيانات الضيوف ومعرّفاتهم المرتبطة بجوازات السفر في حالة حدوث أي شيء خاطئ قد يرغب منفذي تطبيق القانون في الحصول على معلومات هوية في متناول اليد حتى يتمكنوا من تتبع طول المدة التي يقضيها شخص ما في البلاد خاصة إذا كان لديه سفر محدود أو تأشيرة لفترة محددة.
وتضيف قائلة:
إن الفنادق نفسها قد ترغب في الحصول على معلومات عن نزلائها أيضًا باستخدام جوازات السفر أو بطاقات الهوية الحكومية الأخرى يمكن للفنادق دائمًا تعقب الزوار حتى يتمكنوا من تحصيل الدفعات مقابل الرسوم المستحقة وقد يرغبون في إجراء فحوصات خلفية لحظر أشخاص معينين من البقاء معهم، وقد يكون وجود ضيوف في قاعدة بيانات مركزية مفيدًا – في حالة وجود سلسلة فنادق ضخمة مثل ماريوت ذات خصائص متعددة تبدو متفاوتة – فإن السلوك والخلفية ونفقات الضيوف وتتبعهم أثناء قيامهم بالتسجيل في جميع أنحاء العالم تبدو أكثر من مفيدة لأن جوازات السفر هي النوع الثابت الوحيد من أشكال الهوية الموجود في جميع أنحاء العالم!
ما بين تطبيق القانون وتتبع حركة العملاء أين المشكلة؟!
مع وجود فندق ضخم مثل ماريوت فإنه يوجد العديد من المواقع الأخرى تحت العديد من الأسماء المختلفة التي تتبع لها وبهذه الطريقة يمكنهم من خلالها تتبع مختلف الضيوف الذين يدخلون ويخرجون من بيئتهم بالإضافة إلى تلبية قوانين البلاد.
لكن “الامتثال للقانون المحلي” أصبح الآن أصعب مما كان عليه في الماضي بفضل قانون اللائحة العامة لحماية البيانات General Data Protection Regulations “GDPR” وقوانين خصوصية البيانات الأخرى قيد النظر فإذا كانت الشركة تجمع بيانات العملاء فإن عليها أيضًا واجب حمايتها.
اقرأ أيضًا: موجة من تحديثات سياسة الخصوصية وشروط الخدمة على مواقع الإنترنت… فما السبب؟
إذا كانت هناك قوانين تتطلب منك تخزين معلومات تعريف شخصية وهناك قوانين تحافظ عليها آمنة وخاصة ، فما الذي تفعله الشركات العالمية حاليًا للتدقيق والتأكد من قدرتها على تلبية هذه المتطلبات؟!
الإجراء المتبع هو يجب أن يكون هناك نوع من الحل الوسط العملي حيث يتم تطبيق إجراءات أمان وخصوصية البيانات بشكل شامل في الأماكن المطلوبة لتخزين هذه المعلومات وفي حالة خرق ماريوت هذا هو المكان الذي يجب أن ينتبه له الجميع، في ايامنا هذه يبدو من المستحيل أن تدخل إلى فندق خاصة ذات الخمس نجوم بإسم وهوية مختلفة ولكن لا يزال من الممكن التحقق من الدخول والخروج دون خوف من المراقبة غير القانونية وسرقة الهوية.
وحالها كحال جميع الشركات التي تم اختراقها خاصة العملاقة أقامت سلسلة فنادق ماريوت موقعًا مخصصًا على الإنترنت ومركزًا للاتصال للإجابة على الأسئلة المتعلقة بالاختراق مع توفير Web Watcher للعملاء الذين استخدموا خدمة ستاروود Starwood بين عامي 2014 وسبتمبر 2018 وهي خدمة توفر تنبيهًا إذا ظهرت بياناتك في أسواق القراصنة مع أسفها البالغ لهذا الحادث لكن هذا الشعور قد لا ينقذ خصوصية عملائها بعد أن أصبحوا في العراء الآن.
أحلى ماعندنا ، واصل لعندك! سجل بنشرة أراجيك البريدية
بالنقر على زر “التسجيل”، فإنك توافق شروط الخدمة وسياسية الخصوصية وتلقي رسائل بريدية من أراجيك
عبَّر عن رأيك
إحرص أن يكون تعليقك موضوعيّاً ومفيداً، حافظ على سُمعتكَ الرقميَّةواحترم الكاتب والأعضاء والقُرّاء.