Luca Annunziata

Luca Annunziata

Lug 12, 2017

Trump Hotel, carte di credito e dati personali rubati ai clienti

La catena che prende il nome dal presidente USA ha informato i propri clienti di una fuga di dati. A causarla non sarebbero stati i suoi sistemi: il colpevole è il fornitore del servizio di prenotazione

La catena Trump Hotel ha annunciato pubblicamente che per diverse settimane fin qui ignoti attaccanti hanno avuto accesso alle informazioni relative alle carte di credito degli ospiti di sue 14 strutture. Non si tratta della prima volta in cui i Trump Hotel sono vittime di incidenti simili, ma in questo caso la breccia che ha permesso di entrare nei sistemi pare sia legata ai sistemi del fornitore del servizio di prenotazione centralizzato, Sabre Hospitality Solutions, che ha informato della questione la catena solo lo scorso 5 luglio. Ci sarebbero anche altre catene di hotel coinvolte nell’incidente.

Le dimensioni dell’incidente

Il servizio SynXis viene impiegato in diverse strutture alberghiere per centralizzare e coordinare i servizi di prenotazione tra diverse strutture, accessibile sia dagli hotel stessi che da agenzie di viaggio e affini, oltre che per consentire a una direzione centrale di avere visibilità sulle presenze negli hotel. Stando alle informazioni fornite da Trump Hotel, Sabre li ha informati che diversi accessi non autorizzati ai sistemi si sono verificati dal 10 agosto 2016 fino al 9 marzo 2017.

A essere interessati dall’intrusione in questa circostanza sono stati i dati relativi alle carte di credito, comprensivi di nomi degli intestatari e potenzialmente anche i codici di sicurezza (quelli stampati sulla parte posteriore della carta). In alcuni casi le informazioni accessibili si sarebbero estese anche ai dati anagrafici degli ospiti: dati sensibili come numeri della previdenza sociale, numeri di passaporto e numeri di patente dovrebbero essere invece rimasti fuori dalla portata degli intrusi.

Non è stato ancora definito un perimetro esatto dell’attacco subito, né è stato accertato con precisione di quali e quanti dati si siano eventualmente appropriati gli attaccanti: Trump Hotel e Sabre hanno ingaggiato un’agenzia terza per essere supportati nelle indagini.

Non è la prima volta

Come ricordano i giornali d’Oltreoceano, non è la prima volta che la catena degli hotel Trump è vittima di situazioni simili: nel caso precedente la faccenda finì a carte bollate, poiché c’era stato un certo ritardo nella comunicazione dell’incidente ai clienti interessati. In questa circostanza la prassi di informare le potenziali vittime pare sia stata correttamente rispettata nei tempi e nei modi, con tanto di consigli su come comportarsi d’ora in avanti. Ai clienti dei Trump Hotel viene suggerito di chiedere estratti conto alla propria banca per accertarsi che non siano stati fatti acquisti a loro insaputa con i dati sottratti, ed eventualmente presentare una denuncia per cautelarsi rispetto a transazioni non autorizzate.

Quanto avvenuto è l’esempio perfetto della difficoltà tecnica che oggi si affronta nella gestione dei dati e nel garantire la loro sicurezza, se non si adottano le misure adeguate. Le informazioni possono transitare nei sistemi di diversi interlocutori nel corso del processo, come in questo caso, di completare una prenotazione: se i dati fossero stati conservati in forma cifrata all’interno dei server, anche in caso di intrusione gli attaccanti non avrebbero potuto fare alcunché con le informazioni sottratte.