Как из гостиниц утекают данные постояльцев

Платежная информация и персональные данные клиентов отелей – весьма желанные объекты для злоумышленников. Зачастую отели теряют данные клиентов в результате взлома сетей Wi-Fi и атак на системы бронирования. Аналитический центр компании InfoWatch составил дайджест утечек из гостиничных сетей.

В октябре сеть отелей Radisson уведомила участников своей программы лояльности об утечке личной информации. Скомпрометированными оказались такие данные, как имена, адреса, страны проживания, адреса электронной почты, номера телефонов и номера партнерских карт. Согласно предварительной информации, злоумышленники обманным путем получили доступ к учетным записям ряда сотрудников отелей и смогли похитить конфиденциальные сведения. О числе пострадавших не сообщается, но представители Radisson уверяют, что скомпрометированы данные «менее 10%» участников программы лояльности.

Одну из крупнейших в истории Китая утечек информации испытал гостиничный холдинг Huazhu Group. В даркнете обнаружена информация 130 млн постояльцев отелей: имена, телефонные номера, адреса электронной почты, данные банковских карт и сведения о бронировании номеров. Предположительно, утечка произошла через незащищенный канал при загрузке базы данных на GitHub. Анонимные торговцы предлагали купить полную базу за 8 биткойнов (около $54 тыс.), но после того, как инцидент получил огласку в СМИ, снизили цену до 1 биткойна.

Летом хакеры атаковали сервера системы Fastbooking, которая предоставляет услуги бронирования для более чем 4000 отелей в 40 странах. Одним из пострадавших партнеров названа японская сеть Prince Hotels. Добычей киберпреступников стали около 125 тыс. записей персональных данных: имена, адреса и платежная информация.

В особой зоне риска находятся посетители отелей, использующие публичные Wi-Fi-сети. Это излюбленный канал для злоумышленников. Взломав сеть, хакер может похитить идентификационные данные или перехватить пароль для входа в мобильный банк. Недавно на эту проблему решил обратить внимание китайский исследователь безопасности, посетивший конференцию в Сингапуре. Мужчина проживал в отеле Fragrance и наглядно продемонстрировал общественности уязвимость местной сети. Он без особого труда взломал интернет-шлюз, красочно описав весь процесс в своем блоге. Действуя из добрых побуждений, специалист скомпрометировал ряд конфиденциальных данных, которые могли использовать злоумышленники для серьезной атаки на отель. В результате такой «самодеятельности» китаец был оштрафован на 5000 сингапурских долларов (порядка $3600).

В эпоху распространения облачных хранилищ нередки случаи компрометации конфиденциальных данных под влиянием человеческого фактора. Гостиницы и их партнеры здесь не исключение. Так, в Бразилии система бронирования путешествий HBook оставила незащищенными данные более 430 тыс. человек, оставлявших заявки на резервирование номеров. В частности, в Сеть просочились данные о заказах и номера кредитных карт.