Il mega attacco che ha colpito 500 milioni di clienti del colosso del turismo a stelle e strisce Marriott conferma che gli hotel sono e sempre più saranno tra le principali vittime del cyber crime. E che solo una corretta applicazione del gdpr può salvarci dal disastro.
A quanto pare, l’attacco informatico va avanti dal 2014 ma la falla nel sistema di sicurezza è stato scoperto solo a settembre di quest’anno. Come precisa l’azienda stessa, il data breach ha interessato il database delle prenotazioni della catena di alberghi Starwood che fanno parte del gruppo americano.
Indice degli argomenti
Il più grande data breach della storia: quale lezione per aziende e clienti
Che l’industria dell’hospitality fosse tra le più esposte al rischio cybercrime non è una novità: già nello scorso mese di giugno si era verificato un data breach denunciato da Fastbooking, un’azienda terza che sviluppa e vende la piattaforma di prenotazione online disponibile sui siti degli alberghi stessi. Questa ennesima, impressionante violazione di dati personali sottolinea come una corretta applicazione del GDPR in hotel, b&b, strutture ricettive in genere sia indispensabile per prevenire ogni possibile attacco.
Un attacco che, secondo Pierguido Iezzi, Swascan Cybersecurity Strategy Director e Co Founder, “è stato eseguito molto probabilmente usando un malware di tipo Darkhotel o qualche sua derivazione. Non è un caso che Darkhotel è stato identificato proprio nel 2014. Sarà forse un caso che il data breach di Marriott sia iniziato proprio nel 2014?”.
“Darkhotel – continua Iezzi – è un malware mirato proprio per attaccare le catene alberghiere di lusso. Ha l’obiettivo di prendere il controllo dei dispositivi elettronici. Il suo scopo principale era mirato ai dispositivi dei manger ospiti degli hotel per sottrarre informazioni e compiere principalmente azioni di cyber spionaggio. Potrebbe essere sfruttato per impossessarsi di qualsiasi dispositivo della rete di un hotel, anche dell’hotel stesso”.
L’analisi di Iezzi continua osservando che “il vettore di attacco maggiormente usato è tramite finti aggiornamenti o campagne di phishing. Una volta infettato il device, inizia l’avventura attraverso l’attività di discovery. In maniera silente il malintenzionato ha iniziato la sua avventura nel “nuovo mondo” per identificare i database di suo interesse. Identificati e ottenuto l’accesso, è iniziato l’attività di esfiltrazione dei dati”.
“È preoccupante che la catena alberghiera non si sia resa conto del traffico “anomalo” in uscita da un lato e dall’altro che le attività di analisi malware, vulnerablity e network assessment che sicuramente sono state condotte in 4 anni non abbiano rilevato anomalie”, conclude Iezzi.
Analisi dell’attacco
Per farsi un’idea delle dimensioni dell’attacco che ha interessato la Marriott, “basta notare che gli abitanti in Italia sono circa 60 milioni, quindi idealmente pesano poco più del 10% del totale degli utenti breachati”, ci fa notare Alessio L.R. Pennasilico, Information & Cyber Security Advisor in P4I – Partners4Innovation.
Secondo Pennasilico “è da capire ora cosa succederà da un punto di vista normativo, ad esempio se verranno comminate sanzioni alla Marriott”.
“Magari non ha nulla a che fare con quanto accaduto a Marriott, ma questo attacco ci ricorda di tenere sempre alta la guardia e non dare carte di credito direttamente all’hotel via e-mail o, più in generale, di non lasciare troppi nostri dati personali in giro su Internet” è il consiglio di Pennasilico.
Da un’analisi più dettagliata dell’attacco hacker agli hotel Marriott si evince, infatti, che in particolare per 327 milioni di clienti sono stati sottratti i nomi, gli indirizzi, i numeri di telefono, le e-mail il numero di passaporto, la data di nascita, il genere e, ovviamente, anche le informazioni relative ad arrivo, partenza e data di prenotazione. Per alcuni di questi clienti anche i dati di pagamento e i numeri delle carte di credito con tanto di data di scadenza.
In merito al furto dei numeri di carta di credito, la stessa Marriott ha comunicato che questi dati sono criptati e “servono due componenti per decifrali”, ma la stessa catena “non esclude la possibilità che siano stati presi”. In poche parole, gli attaccanti potrebbero avere in mano anche le chiavi per decifrare questi dati.
Attacco agli hotel Marriott: il colpo del secolo del cybercrime
Non si hanno altri dettagli tecnici in merito all’attacco che ha colpito il colosso del turismo: si sospetta solo che una persona non autorizzata abbia avuto accesso indisturbato al sistema informativo, magari sfruttando il malware Darkhotel di cui parlavamo prima, riuscendo a compiere il colpo del secolo del cybercrime.
Tutta questa enorme mole di dati personali, infatti, potrà essere usata per mettere a punto sofisticate truffe on-line, massicce campagne di spear phishing o per creare account finti usando le informazioni, anche quelle finanziarie, dei clienti che in questi anni hanno soggiornato negli alberghi Starwood.
In attesa di capire come verrà gestita questa enorme crisi, la stessa catena alberghiera Marriott ha attivato un call center e un centro di crisi a cui è possibile rivolgersi per chiedere informazioni sulla possibile violazione dei propri dati personali.
In particolare, dall’Italia è possibile chiamare il numero verde 800 728 023 oppure collegarsi al sito del centro di crisi gestito dalla Kroll per conto della Marriott stessa. La catena alberghiera, inoltre, ha comunicato anche l’elenco di hotel coinvolti nell’attacco informatico: W Hotels, St. Regis, Sheraton Hotels & Resorts, Westin Hotels & Resorts, Element Hotels, Aloft Hotels, The Luxury Collection, Tribute Portfolio, Le Méridien Hotels & Resorts. Se tra il 2014 e il 2018 abbiamo soggiornato in una di queste strutture alberghiere è opportuno avviare tutte le necessarie procedure di controllo per scongiurare un possibile furto dei nostri dati.
