vacanze hacker
(A.Benedetti, Corbis, Getty Images)
Tecnologia

Se l'hacker truffa anche le nostre vacanze

Hotel, compagnie aeree, siti di prenotazioni, hanno decine di milioni di dati personali. Una montagna che attira molto gli specialisti del cybercrimine

Non è esattamente tempo di prenotare vacanze, purtroppo. Ma questo non significa che i dati che abbiamo utilizzato in tempi più "tranquilli" per il nostro weekend al mare o per un viaggio di lavoro siano del tutto al sicuro.

Secondo quanto emerge da una recente segnalazione quasi 10 milioni di file contenenti i dati dei clienti di hotel in tutto il mondo sono stati accidentalmente lasciati completamente vulnerabili ed esposti.

Parte del database del software "Cloud Hospitality", utilizzato da siti come Expedia e Booking.com per integrare le prenotazioni fatte su questi siti con i sistemi degli hotel, è risultato infatti essere stato configurato incorrettamente.

Risultato? Dati come i dettagli delle carte di credito utilizzate per i pagamenti, email degli ospiti, date di nascita, numeri di telefono, etc… (alcuni risalenti addirittura al 2013!) facilmente accessibili.

Di fatto l'azienda stava immagazzinando anni di dati di pagamento dei clienti degli hotel senza alcuna protezione; mettendo a rischio di frode e attacchi informatici milioni di clienti.

Basti pensare che questo database conteneva 180mila file che facevano riferimento solo al mese di agosto – periodo che comunque a risentito di un crollo verticale delle prenotazioni rispetto alla norma.

All'interno di questi file, come accennato, si poteva trovare di tutto: nomi completi, indirizzi e-mail, codici fiscali, numeri di telefono, numeri delle carte di credito, nomi dei titolari di queste carte, ma anche i codici CVV e date di scadenza.

E non è finita qui, erano visibili anche i dettagli della prenotazione, come il costo totale, il numero di prenotazione, le date del soggiorno, le richieste speciali degli ospiti, il numero di persone, i nomi degli ospiti e altro ancora…

I ricercatori di Website Planet, che per primi hanno scoperto questo fatto, sostengono che ogni sito web e piattaforma di prenotazione collegata a Cloud Hospitality potrebbe essere stata colpita.

Ovviamente questi siti web non sono responsabili per i dati esposti, ma semplici vittime dell'errore fatto dal proprio fornitore.

Le possibili conseguenze

Se un Criminal Hacker fosse riuscito a mettere le mani su questo Database prima dei ricercatori le conseguenze, vista la mole d'informazioni contenute, potrebbero essere disastrose.

Gli ospiti degli hotel colpiti potrebbero essere bersaglio di una vasta gamma di attacchi: dal furto di identità agli attacchi di phishing fino semplicemente a trovarsi le vacanze cancellate all'improvviso e molto altro...

Per esempio, i criminali informatici potrebbero utilizzare i dettagli dei soggiorni in hotel per creare truffe convincenti e prendere di mira individui facoltosi che hanno soggiornato in hotel di lusso.

O ancora potrebbero utilizzare le informazioni dei vari soggiorni di una persona in hotel per ricattarla nel caso questi rivelassero informazioni imbarazzanti o compromettenti sulla sua vita privata.

Altri scenari di attacco includono frodi con carte di credito, ma anche truffe più lunghe in cui un aggressore potrebbe usare i dettagli per stabilire un rapporto di fiducia con la vittima – facendo leva sulle informazioni in suo possesso – per convincerla a cliccare su link dannosi, a scaricare malware o a inviare denaro.

Finora non ci sono prove che il database sia stato oggetto delle attenzioni dei Criminal Hacker.

Tuttavia, se così fosse, ci sarebbero enormi implicazioni per la privacy, la sicurezza e il benessere finanziario delle persone esposte.

Dal canto loro, i ricercatori hanno contattato direttamente la AWS – che fornisce l'infrastruttura a Cloud Hospitality e la falla di sicurezza è stata chiusa immediatamente.

Come difendersi

L'incidente, non è essendo ancora del tutto stato confermato – perché appunto non sappiamo se questi dati siano nel frattempo rubati e pubblicati altrove – non ci permette di sapere con certezza se tra quei 10 milioni di dati rubati ci fossero anche nostre informazioni.

In ogni caso, si avverasse la peggiore delle ipotesi ci sono comunque alcuni accorgimenti che ci permettono di dormire sogni un po' più tranquilli…

A partire dalle carte di credito e dall'home banking, è fortemente consigliato implementare l'autenticazione a due fattori per ogni acquisto che viene effettuato online.

Così potremmo accorgerci subito con una notifica se qualcun altro sta cercando di utilizzare i nostri conti corrente.

Per quanto riguarda, invece, la sicurezza dei nostri account email, in particolare se siamo bersagli di attacchi di phishing vale sempre il vecchio adagio del "fidarsi è bene, non fidarsi è meglio":

  • Controllare sempre con cura il mittente,
  • Controllare l'oggetto della mail,
  • Verificare che all'interno del testo non ci siano errori grammaticali o altre imperfezioni grossolane,
  • Diffidare sempre di chi vi richiede dati o informazioni sensibili via mail,
  • Non cliccare mai su link o allegati che arrivano da un mittente sconosciuto,
  • Nel caso sorga un dubbio in merito alla comunicazione ricevuta, chiamate direttamente l'hotel dove avete in programma di soggiornare!

Non abbassiamo la guardia!

I più letti

avatar-icon

Pierguido Iezzi