Утечки из сферы гостеприимства

Сети отелей располагают крупными, постоянно пополняемыми хранилищами персональных данных и обрабатывают данные платежных карт. Эта информация в большинстве случаев утекает в результате хакерских атак, а среди внутренних нарушений главную опасность представляют утечки, вызванные человеческим фактором, включая инциденты на стороне подрядчиков.

Минувшим летом произошла утечка личной информации порядка 700 тыс. клиентов отелей, объединенных франшизой Choice Hotels. Хакеры проникли на сервер MongoDB и скачали все данные (имена, адреса электронной почты, номера телефонов), оставив записку с требованием о выкупе — эквивалент $4000 в криптовалюте. В Choice Hotels винят в произошедшем фирму, нанятую для обслуживания сервера. Специалисты подрядчика оставили сервер без парольной защиты, в результате чего в хранилище беспрепятственно хозяйничали злоумышленники. Вероятно, эта утечка приведет к большому числу фишинговых атак на пострадавших клиентов.

Сеть Drury Hotels расследует инцидент, связанный с несанкционированным доступом к сети неназванного поставщика услуг. Известно, что услугами этого провайдера Drury пользуется для сбора данных со сторонних систем бронирования. Злоумышленникам могли быть доступны записи платежных транзакций, совершенных в период с декабря 2017 г. по март 2019 г.

Исследователи компании vpnMentor обнаружили в Сети незащищенную базу данных с журналами безопасности систем крупных гостиничных сетей, включая Marriott, Sheraton и Hilton. Сервер принадлежит компании-подрядчику Pyramid Hotel Group. Скомпрометированное хранилище объемом более 85 ГБ содержало богатую коллекцию данных о состоянии ИБ: ключи и пароли для API, имена подключенных устройств, IP-адреса, данные о межсетевых экранах, сведения о доступе в приложения, журналы инцидентов и т.д. Кроме того, на сервере был широкий спектр данных о сотрудниках отелей, включая имена, данные о локальных ПК, сведения серверах и ОС, сообщили в vpnMentor.

В этом году в центре внимания продолжает оставаться утечка из сети Marriott. Напомним, что в 2018 г. хакеры взломали систему бронирования Starwood и украли данные 383 млн гостей. Британский регулятор ICO намерен оштрафовать Marriott на более чем 99 млн фунтов (примерно $123 млн), в Турции эта гостиничная сеть уже получила штраф в размере 1,5 млн лир (около $255 тыс.).

Даже небольшая утечка может обернуться штрафными санкциями со стороны регуляторов. В Румынии уполномоченный орган по защите данных решил наказать отель Pullman Bucharest. Нарушение произошло во время одного из завтраков: персонал оставил на видном месте список гостей, неизвестный сфотографировал эту бумагу и разместил снимок в Сети. Отель был оштрафован на 15 тыс. евро.

Читайте нас в Telegram