Une violation de données d'hôtel expose 5 millions de personnes

Les données des clients d'hôtels volées et diffusées en temps réel sur Telegram

Des chercheurs en sécurité de Cybernews ont découvert une opération de vol de données à grande échelle ciblant des clients d'hôtels dans plusieurs pays. L'attaque a compromis plus de 500 comptes sur des plateformes de gestion hôtelière, exposant les informations personnelles de près de 5 millions de voyageurs dans le monde. Ce qui rend cette violation particulièrement alarmante, c'est non seulement son ampleur, mais aussi la méthode de diffusion : les données volées étaient divulguées en temps réel via des canaux Telegram, tout en étant simultanément stockées sur un serveur non protégé.

Les plateformes visées comprennent Chekin, basée en Espagne, et Gastrodat, basée en Autriche, toutes deux utilisées par des hôtels et des gestionnaires de propriétés pour gérer les enregistrements des clients et les données administratives. Les pirates ont utilisé des scripts automatisés pour collecter systématiquement les noms, adresses e-mail, numéros de téléphone et informations d'identité officielles des clients à partir des comptes compromis.

Comment l'attaque a fonctionné

L'opération reposait sur la compromission d'identifiants plutôt que sur une violation catastrophique unique d'une seule plateforme. En accédant à plus de 500 comptes individuels de gestion immobilière, les attaquants ont pu extraire les données des clients de chacun d'eux à l'aide d'outils automatisés. Ce type d'attaque est parfois appelé credential stuffing ou prise de contrôle de compte, où des identifiants de connexion volés ou faibles sont utilisés pour accéder à des systèmes légitimes.

Une fois à l'intérieur, les scripts récupéraient toutes les données personnelles contenues dans les comptes, notamment le type d'informations que les clients sont tenus de fournir lors de leur enregistrement à l'hôtel : noms légaux complets, coordonnées et documents d'identité. Cette combinaison de données est particulièrement précieuse pour les criminels, car elle peut être utilisée pour l'usurpation d'identité, les campagnes de hameçonnage, la substitution de carte SIM et d'autres formes de fraude.

La décision de distribuer les données volées via Telegram, plutôt que de les vendre sur les marchés traditionnels du dark web, reflète une évolution plus large dans la façon dont les cybercriminels opèrent. Telegram est devenu de plus en plus un canal de distribution pour les données divulguées, en raison de sa facilité d'utilisation et de sa modération de contenu relativement permissive.

Ce que cela signifie pour vous

Si vous avez séjourné dans un hôtel utilisant Chekin ou Gastrodat pour la gestion des clients à un moment quelconque, vos informations personnelles font peut-être partie de cet ensemble de données. Même si vous n'êtes pas directement concerné, cet incident illustre une vulnérabilité plus large à laquelle sont confrontés les voyageurs : lorsque vous vous enregistrez dans un hôtel, vous transmettez des données personnelles sensibles avec très peu de visibilité sur la façon dont elles sont stockées, sur qui peut y accéder, ou sur la sécurité avec laquelle ces systèmes sont gérés.

Les données exposées ici vont au-delà d'une simple combinaison d'adresse e-mail et de mot de passe. Les informations d'identification officielles combinées à un nom complet, un numéro de téléphone et une adresse e-mail donnent aux acteurs malveillants de quoi vous usurper l'identité, ouvrir des comptes à votre nom ou concevoir des messages de hameçonnage très convaincants, spécialement adaptés à votre profil.

Les hôtels et les plateformes de gestion immobilière sont des cibles particulièrement attractives parce qu'ils collectent des données personnelles riches auprès d'un grand nombre de personnes, souvent avec une infrastructure de sécurité moins rigoureuse que celle des institutions financières ou des grandes entreprises technologiques.

Mesures que vous pouvez prendre pour réduire votre exposition

Vous ne pouvez pas toujours contrôler ce qui arrive à vos données une fois que vous les avez transmises à une entreprise, mais vous pouvez prendre des mesures pour limiter les dégâts en cas de problème.

Surveillez vos comptes et votre identité. Si vous voyagez fréquemment, envisagez d'utiliser un service de surveillance de l'identité qui vous alerte lorsque vos informations personnelles apparaissent dans des violations de données connues ou sur le web ouvert.

Utilisez des adresses e-mail uniques pour vos réservations de voyage. Les services qui vous permettent de créer des adresses e-mail alias signifient que même si un compte est compromis, l'exposition reste limitée.

Méfiez-vous des contacts non sollicités. Si vous recevez un e-mail, un SMS ou un appel téléphonique faisant référence à un récent séjour à l'hôtel, traitez-le avec prudence. Les attaquants utilisent ce type de détails pour rendre les tentatives de hameçonnage plus convaincantes.

Sécurisez vos appareils et vos connexions lorsque vous voyagez. Les réseaux publics dans les hôtels et les aéroports sont des points d'entrée courants pour l'interception de données. L'utilisation d'un VPN lors de la connexion à un réseau WiFi public chiffre votre trafic et réduit le risque que votre activité soit surveillée ou interceptée.

Vérifiez quelles données les plateformes détiennent sur vous. Dans de nombreux pays, notamment au sein de l'Union européenne, vous avez le droit de demander quelles données personnelles une entreprise détient et de demander leur suppression. Si vous avez séjourné dans des établissements utilisant des plateformes comme Chekin ou Gastrodat, vous pouvez contacter directement ces plateformes.

Cette violation rappelle que vos données personnelles voyagent avec vous, souvent de façons que vous ne pouvez ni voir ni contrôler. Rester informé sur le devenir de vos informations et prendre des mesures pratiques pour limiter votre exposition constituent la défense la plus efficace dont disposent actuellement les voyageurs ordinaires.