La piattaforma di prenotazioni per hotels conferma l’attacco informatico che ha esposto i dati di alcuni utenti
Booking.com, la famosa agenzia di viaggi online per la prenotazione di hotel e alloggi, ha confermato l’accesso non autorizzato ai propri sistemi. L’attacco avrebbe esposto una parte delle informazioni personali degli utenti, tra i quali dati anagrafici e di contatto, dettagli delle prenotazioni, messaggi scambiati con hotel o host, dati di carte di credito, tutte le informazioni che sono archiviate nei sistemi di gestione delle prenotazioni utilizzate per coordinare check-in, eventuali richieste specifiche e assistenza durante il soggiorno.
Courtney Camp, portavoce di Booking.com, ha dichiarato a TechCrunch, famoso blog statunitense che si occupa di tecnologia e informatica, che la società «ha notato alcune attività sospette che coinvolgevano terze parti non autorizzate in grado di accedere ad alcune informazioni di prenotazione dei nostri ospiti». Dopo aver scoperto l’accaduto, l’azienda ha adottato misure di contenimento. Tra queste, invio comunicazioni agli hotel e il reset dei codici PIN associati alle prenotazioni agli utenti interessati, una misura che serve a impedire modifiche non autorizzate agli account o ai dettagli dei viaggi. Al momento non sono stati forniti dettagli su quanti utenti sono stati interessati dall’accaduto, un elemento che rende difficile valutare la portata reale dell’incidente.
In questi casi è fondamentale NON salvare le credenziali di autenticazione sui browser in uso per l’accesso alle OTA. Uno dei metodi più diffusi per salvare le password, infatti, è quello di lasciarle memorizzate in maniera automatica sui browser. Gli aggressori possono approfittare della scarsa protezione data dalle password per scovare queste informazioni utilizzando malware, come i trojan, accedendo quindi alle credenziali di autenticazione per entrare nelle extranet e sostituirsi all’hotel con le comunicazioni con i clienti (c.d. tecnica del Man in the Middle) e imbandendo delle truffe molto convincenti nei confronti del potenziale bersaglio.
Una volta violato il sistema, i dati trafugati dalla piattaforma potrebbero essere utilizzati dai criminali informatici per perpetrare futuri attacchi mirati. Alcuni utenti hanno in realtà già segnalato di aver ricevuto messaggi sospetti su WhatsApp contenenti informazioni accurate sulle loro prenotazioni. Questo tipo di attacco rientra nel cosiddetto phishing, una tecnica di ingegneria sociale in cui l’attaccante si finge un soggetto affidabile per ottenere dati sensibili o denaro. Quando il phishing utilizza informazioni reali – come date esatte relative a un soggiorno e il riferimento all’hotel in cui si ha effettivamente una prenotazione pendente – diventa molto più difficile da riconoscere. Infatti, in questi casi, si parla di spear phishing, cioè phishing mirato, costruito su misura per una vittima specifica.
Uno dei casi più utilizzati, ad esempio, è quello di richieste volte a fornire dati sensibili (come i dati della carta di credito), magari con la scusa che il pagamento non è andato a buon fine e che la prenotazione sulla OTA è a rischio. Quindi, non bisogna fornire dati personali, non cliccare su alcun link proposto e non effettuare alcun pagamento. Se dovessero sorgere dubbi in merito all’attendibilità di una certa comunicazione ricevuta via Whatsapp, tramite SMS o sulla e-mail personale usata per il contatto con la OTA, si suggerisce di contattare direttamente la struttura ricettiva telefonicamente e/o il customer care di Booking per ricevere delucidazioni. Nel fare questo, ovviamente, fare riferimento ai dati di contatto che si possono trovare sul sito ufficiale della struttura alberghiera o nella pagina dei contatti di Booking.
Le strutture eventualmente interessate sono obbligate, ai sensi dell’art. 33 § 1 del GDPR, a notificare la violazione all’autorità di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne sono venute a conoscenza.
Si ricorda che sono molto praticate altre tipologie di attacchi, via telefonica, ove presunti operatori di Booking, Expedia, OTA o di banche illustrano uno scenario di attacco informatico chiedendo l’immediato intervento dell’interlocutore al telefono, per concedere accessi da remoto, comunicare password, codici OTP o PIN. In tali casi l’esposizione al rischio è molto elevata e, quindi, bisogna interrompere qualsiasi interlocuzione avviata e disconnettere immediatamente internet, chiudere sessione remota e disinstallare eventuali software eventualmente fatti utilizzare.
Massimo Bruno