Efterretningstjeneste hackede Booking.com

By Michael RasmussenCybersecurity, Kryptering, Malware, Sikkerhedshuller

Booking.com, som er verdens største service for hotel og feriebooking blev hacket af en amerikansk efterretningstjeneste. Booking.com fortalte ikke Datatilsynet og kunderne om det. Det var der ingen lov om, lød årsagen. Det skriver Ars Technica i anledning af udgivelsen af bogen “De Machine: In de ban van Booking.com”.

Efterretningstjenester er meget interesseret i rejseselskaber for at få at vide hvilket hotel man bor på. Af flere årsager. For det første kan man hacke en computer hurtigere via den WIFI som gæsten angiveligt vil benytte. For det andet kan man observere gæstens adfærd via hotellets systemer. F.eks. hvornår forlader en gæst sit værelse og hvor ellers benyttes et adgangskort til f.eks. mødelokaler, fitness og swimmingspools m.v. Dernæst hvem andre bor på hotellet og hvor holder disse møder sammen m.v. Politi og efterretningstjenester har interesse i sådanne data så man kan lokalisere uønskede personer og evt. hacke gæsten. Selvom kreditkort data kan føre til misbrug kan email adressen bruges til Scam, Phishing and Malware

Det var helt tilbage i 2016 at den amerikanske efterretningstjeneste hackede serverne hos Booking servere og stjal data. De data som var ønskede var især fra hotelreservationer i Saudi-Arabien, Qatar og De Forenede Arabiske Emirater. Sådanne data indeholder CPR nummer, kreditkort, navne, rejseplaner og hvem rejer man evt. med. Det har været nemt fordi ingen data er krypteret, heller ikke i dag og alene anvendelsen af kryptering kan være med til at sikre at man undgår Ransomware.

Bogen ‘De Machine: In de ban van Booking.com’, er skrevet af tre hollandske journalister, og den udkom i morges og har allerede trukket overskrifter i forskellige medier over hele verden.

Hollandske Booking.com kontaktede nemlig efter denne hacking den nationale efterretningstjeneste AIVD. De iværksatte på deres anbefaling en undersøgelse af bruddet, men i det efterfølgende statusmøde valgte en juridisk rådgiver at anbefale, at man ikke meldte det videre til det hollandske datatilsyn. Hensynet var angiveligt at der ikke var lovmæssig grund. Efter sigende skulle data ikke indeholde sensitive eller finansielle data. Dermed blev hverken det lokale Datatilsynet eller kunderne underrettet.

Hoteller er et populært hackeremne, for man nemt kan finde ukrypteret kreditkort, adfærd med andre mennesker og gæsternes computere og telefoner er nemmere at hacke på et hotel

Dette skete også i 2014 hvor nationale efterretningstjenester, angiveligt har arbejdet med hacking og lokalisering ved brug af underleverandærer (hackere). Kaspersky afslørede i 2014 den såkaldte “Dark Hotels-kampagne”. Her kan man læse om hvordan hackerne brugte de forskellige hotellers Wi-Fi-netværk til at hacke gæsternes computere og telefoner.

Som om det ikke var nok, kan vi konstatere at der siden 2013 har været fri adgang til data såsom kreditkort for en lang række firmaer og kunder

For et år siden var den gal igen. Det var hotelsoftwarefirmaet Prestige Software i Spanien der blev hacket med ialt 24,4GB i 10 millioner filer. Selve hacket var baseret på en forkert opsat S3 Bucket fra Amazon Web Services. Hacket blev publiceret 06/11/2020 af Websiteplanet. Udbyderen har overtrådt en mængde love og det er ulovligt at opbevare kreditkort data på den måde.

Dette berørte hundredtusindvis af kunder over hele verden. Her var følsomme data fra millioner af hotelgæster over hele verden, der går så langt tilbage som 2013 og herunder kreditkortoplysninger for 100.000 vis af mennesker. Selve hacket omfatter millioner af mennesker fra:

  • Booking.com
  • Hotels.com
  • Expedia
  • Agoda
  • Amadeus
  • Hotelbeds
  • Omnibees
  • Sabre
  • samt andre mindre kendte og lokale der har benyttet dette hotelbooking software

Dette hack omfattede følgende kundedata uden anvendelse af dekryptering

  1. Følsomme data: Fulde navne, e-mailadresser, nationale id-numre og telefonnumre på hotellets gæster
  2. Kreditkortoplysninger: Kortnummer, kortholderens navn, CVV og udløbsdato
  3. Betalingsoplysninger: Samlede udgifter til hotelreservationer, ændringer og annuleringer
  4. Reservationsoplysninger: Reservationsnummer, datoer for et ophold, den pris, der betales pr. nat, eventuelle yderligere anmodninger fra gæster, antal personer, gæstenavne og meget mere.

Det er naturligvis ulovligt og en kæmpe fejl at opbevare 10 millioner individuelle logfiler tilbage til 2013.

“Takket være Whitehat hackere blev dette ikke til en Ransomware sag men alle der har booket med de omfattende tjenester er sårbare på den ene eller anden måde siden 2013, selv idag fordi mange ikke anvender kryptering” og “Vi må håbe, at de en gang for alle får styr på sikkerheden for det betyder en direkte anmeldelse til politi og datatilsynsmyndigheder med efterfølgende bøder i lighed med bøden på 20 millioner pund i 2018 til British Airways”

siger Michael Rasmussen, CEO @ ICARE.DK
Fotokredit: icare.dk