Um novo vazamento de dados veio à tona essa semana e que segundo as reportagens consultadas, podem ter envolvido centenas de hotéis em todo o mundo, sendo que apenas no Japão a informação é que cerca de 380 hotéis tenham sido afetados.
O ataque teria ocorrido 14 de junho por meio da exploração de uma falha em um aplicativo hospedado no servidor da FastBoking, empresa de origem francesa com forte atuação nos mercados da Europa e Ásia, tendo mais de 4.000 hotéis parceiros em 100 países e que foi adquirida pela AccorHotels em 2015. O sistema de reserva também está presente no Brasil desde de 2017 com aproximadamente 200 hotéis cadastrados.
Por enquanto, a única rede de hotéis no mundo que confirmou o vazamento de dados de seus hóspedes foi a Prince Hotels & Resorts, uma das maiores administradoras de hotéis e resorts do Japão, que pediu desculpas publicamente por meio dos seus representantes, incluindo o presidente Masahiko Koyama que aparece ao centro na foto, em um gesto característico da cultura japonesa, diante situações como essa.
“Eu sinceramente peço desculpas por todos os problemas que causamos aos nossos clientes e funcionários envolvidos. Vamos trabalhar duro na investigação para encontrar a causa e evitar qualquer recorrência ”.
Durante a coletiva de imprensa, o porta-voz da rede disse que o servidor administrado pela FastBooking para manter os sites em inglês, chinês e coreano havia sido invadido entre os dias 15 e 17 de junho, afetando 124.963 clientes, sendo que 58.003 tiveram vazados seus nomes, nacionalidades, endereços, e-mails, números de telefone e informações das reservas. Os outros 66.960 clientes tiveram também os dados de cartões de crédito comprometidos durante o ataque.
A FastBooking publicou uma advertência na quinta-feira dizendo que dados pessoais vazaram por meio de acesso não autorizado ao seu próprio site de reservas e que reportou o roubo ao Prince Hotel no dia seguinte. Outros hotéis também teriam recebido detalhes sobre o número de hóspedes afetados de cada unidade e o tipo de dados que o atacante roubou. Abaixo um cronograma do incidente:
- 14 de junho de 2018, às 20h43 UTC – intruso rompe o sistema do FastBooking.
- 19 de junho de 2018, às 15:40 UTC – FastBooking descobre invasões.
- 19 de junho de 2018, às 21h02 UTC – FastBooking fecha a brecha.
A Prince Hotels & Resorts também tirou os sites comprometidos do ar e encaminharam um e-mail para todos os clientes que tiveram algum dado roubado, informando sobre o incidente, além de um pedido formal de desculpas. A rede disponibilizou um endereço de e-mail saleshotline@princehotels.co.jp para atender casos emergenciais das vítimas.
Hotéis e o padrão de segurança PCI DSS
Depois do alvoroço no setor de turismo, causado pela nova regulamentação da IATA que obrigou todas as agências de viagens associadas a adotarem os controles previsto no PCI à partir do dia 1 de março de 2018, é mais do que necessário expandir essas obrigações a outros setores que estão constantemente passando por algum tipo de incidente de segurança envolvendo dados de cartões de pagamento. No Brasil pelo menos não há indícios ainda de que ocorra algum movimento no setor de hotelaria, mas é evidente a necessidade de adequação, ainda mais no momento em que tramita no Senado a nova Lei de Proteção de Dados Pessoais, que deverá apertar o cerco de empresas que tiverem seus sistemas violados.
Outros casos semelhantes
Abaixo alguns links que tratam de casos similares que ocorreram no setor de turismo e viagens, além de um artigo tratando sobre a necessidade de uma conformidade em segurança no setor de hotelaria:
HOTEL SOFRE ATAQUE HACKER, AFETANDO UNIDADE NO BRASIL
AGÊNCIA DE VIAGENS SOFRE GRANDE VAZAMENTO DE DADOS
HOTÉIS – A PRÓXIMA PARADA DO PADRÃO DE SEGURANÇA PCI?
Fontes consultadas: Japan Times / Bleeping Computer
Imagens: Japan Times (Chisato Tanaka) / Pixabay
Texto adaptado: Roberto Henrique – Analista de Seg. da Informação – ABCTec
