L’hacker “Andrew”, che aveva stretti legami con i servizi di intelligence americani, ha avuto accesso a migliaia di prenotazioni di hotel nei paesi del Medio Oriente. Booking.com non ha segnalato la violazione dei dati ai clienti o alle autorità.
All’inizio del 2016, un operatore americano ha violato i server del sito web dell’azienda Booking.com e ha rubato dati su migliaia di prenotazioni di hotel in Medio Oriente. Dopo due mesi di indagini, gli specialisti IT di Booking.com hanno stabilito che il criminale aveva stretti legami con i servizi di intelligence americani. L’amministrazione del sito ha taciuto sulla violazione dei dati e non ha segnalato l’incidente ai clienti o alle autorità. Lo riferisce il quotidiano NRC.
La direzione del sito ha richiesto assistenza al servizio di intelligence olandese AIVD per indagare sulla massiccia violazione dei dati, ma non ha informato i clienti interessati o l’agenzia olandese per la protezione dei dati. Secondo l’amministrazione del sito, all’epoca ciò non era previsto dalla legge.
Il rilevamento casuale
Gli addetti alle prenotazioni hanno scoperto per caso il fatto dello spionaggio all’inizio del 2016. Un addetto alla sicurezza presso la sede dell’azienda ad Amsterdam ha scoperto che un utente sconosciuto aveva accesso ai sistemi di prenotazione tramite un server debolmente protetto. L’hacker ha avuto accesso a migliaia di prenotazioni di hotel in Medio Oriente (tra cui Arabia Saudita, Qatar ed Emirati Arabi Uniti).
L’incidente, chiamato internamente (come vedremo più avanti) “PIN-Leak”, è stato confermato in modo indipendente da tre ex esperti di sicurezza di Booking e da uno dei dirigenti al momento della violazione. Con l’aiuto di investigatori privati americani, il dipartimento di prenotazione è stato in grado di identificare l’hacker americano Andrew due mesi dopo, che lavorava per una società anonima su incarichi per i servizi di intelligence americani.
Nel 2013, sono trapelate informazioni secondo cui gli Stati Uniti stavano spiando i siti Web degli hotel per monitorare i movimenti di diplomatici stranieri e installare apparecchiature per le intercettazioni telefoniche nelle camere d’albergo. Quindi l’informatore Edward Snowden, nello stesso anno, ha affermato che il quartier generale delle comunicazioni del governo (Government Communications Headquarters, GCHQ) ha effettuato il monitoraggio dei numeri degli ordini negli hotel di fascia alta, che è stato effettuato da diplomatici stranieri. Il programma era chiamato “Royal Concierge” (in questo link trovate una notizia del periodo, mentre invece qui l’archivio del dossier esposto da Snowden) e ha monitorato 350 hotel premium in tutto il mondo. Ciò ha permesso di scoprire il numero in cui l’uno o l’altro alto funzionario intendeva soggiornare e di introdurre quindi microspie nei telefoni.
Nel 2014, Kaspersky Labs ha rivelato “Dark Hotel”, una campagna durata anni che utilizzava le reti Wi-Fi degli hotel per infettare i dispositivi degli ospiti mirati con l’obiettivo di ottenere l’accesso alle informazioni sensibili di un’azienda. Le persone dietro Dark Hotel, che probabilmente lavorano per conto di uno Stato, hanno mostrato un particolare interesse per i funzionari politici e i dirigenti di livello globale.
Un portavoce di Booking.com ha confermato che nel 2016 è stata rilevata “attività insolita”. Secondo il portavoce, poiché non c’erano “prove di un effettivo effetto negativo sulla privacy delle persone”, Booking non ha segnalato la violazione dei dati.
Ma gli specialisti IT che lavorano per Booking.com hanno raccontato una storia diversa, tutto contenuto nel libro De Machine: In de ban van Booking.com (appena uscito, con pubblicazione del 11-11-2021). Gli autori del libro, tre giornalisti del quotidiano nazionale olandese NRC, riferiscono che il nome interno della violazione era “PIN-leak”, perché la violazione riguardava PIN rubati dalle prenotazioni.
Il libro dice anche che la persona dietro l’hack ha avuto accesso a migliaia di prenotazioni alberghiere che coinvolgono paesi del Medio Oriente tra cui Arabia Saudita, Qatar ed Emirati Arabi Uniti. I dati divulgati riguardavano i nomi dei clienti di Booking.com e i loro piani di viaggio.
Per dettaglio riportiamo qui di seguito la risposta completa dei vertici di Booking.com (tradotta).
Risposta originale Booking.com: “LA SICUREZZA È UNA PRIORITÀ ASSOLUTA”
<<La sicurezza dei dati è una priorità assoluta per noi e innoviamo continuamente i solidi processi e sistemi che abbiamo in atto per proteggere i nostri clienti e partner.
Non appena è stata rilevata un’attività insolita su una delle interfacce di connettività dei nostri partner affiliati nel 2016, il nostro team di sicurezza ha affrontato completamente il problema e ha immediatamente avviato un’indagine forense. Con il supporto di esperti esterni in materia e seguendo il quadro stabilito dal Dutch Data Protection Act (il regolamento applicabile prima del GDPR), abbiamo confermato che non è stato effettuato l’accesso a informazioni sensibili o finanziarie.
La dirigenza all’epoca lavorava per seguire i principi del DDPA, che guidava le aziende a compiere ulteriori passi sulla notifica solo in caso di effettivi effetti negativi sulla vita privata delle persone, per i quali non sono state rilevate prove>>.
L’azienda festeggia quest’anno il suo 25° anniversario ed è la più grande piattaforma di prenotazione al mondo, con 28 milioni di alloggi affiliati. Per quanto è noto, non c’è stato un altro incidente di spionaggio comparabile dopo il 2016. Tuttavia, i criminali informatici “white-hat” sono riusciti a penetrare nei server di prenotazione. All’inizio di quest’anno, l’AP olandese ha multato Booking con 475.000 euro per aver comunicato troppo tardi all’autorità che i criminali avevano rubato i dati personali e della carta di credito di circa 4.000 clienti.