Datainnbrudd hos hotell avslører informasjon om 5 millioner mennesker

Hotelgjestdata stjålet og lekket på Telegram i sanntid

Sikkerhetsforskere ved Cybernews har avdekket en omfattende datatyverioperasjon rettet mot hotelgjester i flere land. Angrepet kompromitterte mer enn 500 kontoer på plattformer for hotellstyring og avslørte personlig informasjon om nesten 5 millioner reisende verden over. Det som gjør dette bruddet særlig alarmerende er ikke bare omfanget, men distribusjonsmetoden: de stjålne dataene ble lekket i sanntid gjennom Telegram-kanaler, samtidig som de ble lagret på en ubeskyttet server.

De berørte plattformene inkluderer spanske Chekin og østerrikske Gastrodat, som begge brukes av hoteller og eiendomsforvaltere til å håndtere innsjekking av gjester og administrativ data. Hackerne brukte automatiserte skript for systematisk å høste gjestenes navn, e-postadresser, telefonnumre og detaljer fra offentlig utstedte ID-dokumenter fra kompromitterte kontoer.

Slik fungerte angrepet

Operasjonen var basert på kompromittering av påloggingsinformasjon, fremfor et enkelt katastrofalt brudd på én plattform. Ved å få tilgang til over 500 individuelle eiendomsforvaltningskontoer kunne angriperne hente ut gjestedata fra hver enkelt ved hjelp av automatiserte verktøy. Denne typen angrep kalles noen ganger «credential stuffing» eller kontoovertakelse, der stjålet eller svak påloggingsinformasjon brukes til å få tilgang til legitime systemer.

Når de først var inne, skrapet skriptene ut all personlig data kontoene inneholdt, inkludert den typen informasjon gjester er pålagt å oppgi ved innsjekking på hotell: fulle juridiske navn, kontaktinformasjon og identifikasjonsdokumenter. Denne kombinasjonen av data er særlig verdifull for kriminelle, ettersom den kan brukes til identitetstyveri, phishing-kampanjer, SIM-bytte og andre former for svindel.

Beslutningen om å distribuere de stjålne dataene via Telegram, fremfor å selge dem på tradisjonelle mørke nettmarkedsplasser, gjenspeiler et bredere skifte i måten nettkriminelle opererer på. Telegram har i økende grad blitt en distribusjonskanal for lekkede data på grunn av brukervennligheten og den relativt ettergivende innholdsmoderering.

Hva dette betyr for deg

Hvis du på noe tidspunkt har bodd på et hotell som bruker Chekin eller Gastrodat til gjesteadministrasjon, kan din personlige informasjon være en del av dette datasettet. Selv om du ikke er direkte berørt, illustrerer denne hendelsen en bredere sårbarhet som reisende står overfor: når du sjekker inn på et hotell, utleverer du sensitiv personlig data uten særlig innsikt i hvordan den lagres, hvem som har tilgang til den, eller hvor sikkert disse systemene forvaltes.

Dataene som ble eksponert her går langt utover en enkel kombinasjon av e-post og passord. Detaljer fra offentlig utstedte ID-dokumenter kombinert med fullt navn, telefonnummer og e-postadresse gir ondsinnede aktører nok informasjon til å utgi seg for å være deg, opprette kontoer i ditt navn, eller utforme svært overbevisende phishing-meldinger skreddersydd spesielt til deg.

Hoteller og plattformer for eiendomsforvaltning er attraktive mål nettopp fordi de samler inn rike personopplysninger fra et stort antall mennesker, ofte med mindre streng sikkerhetsinfrastruktur enn finansinstitusjoner eller store teknologiselskaper.

Tiltak du kan ta for å redusere din eksponering

Du kan ikke alltid kontrollere hva som skjer med dataene dine når du utleverer dem til en virksomhet, men du kan ta grep for å begrense skaden dersom noe går galt.

Overvåk kontoene dine og din identitet. Hvis du reiser hyppig, bør du vurdere å bruke en identitetsovervåkningstjeneste som varsler deg når din personlige informasjon dukker opp i kjente datainnbrudd eller på det åpne nettet.

Bruk unike e-postadresser for reisebookinger. Tjenester som lar deg opprette alias-e-postadresser gjør at eksponeringen begrenses til én konto, selv om den skulle bli kompromittert.

Vær skeptisk til uønsket kontakt. Hvis du mottar en e-post, tekstmelding eller telefonsamtale som refererer til et nylig hotellopphold, bør du behandle den med forsiktighet. Angripere bruker slike detaljer for å gjøre phishing-forsøk mer overbevisende.

Sikre enhetene og tilkoblingene dine når du reiser. Offentlige nettverk på hoteller og flyplasser er vanlige inngangspunkter for dataavskjæring. Bruk av VPN når du kobler til offentlig WiFi krypterer trafikken din og reduserer risikoen for at aktiviteten din overvåkes eller avskjæres.

Se gjennom hvilke data plattformer har om deg. I mange land, særlig innenfor Den europeiske union, har du rett til å be om å få vite hvilke personopplysninger et selskap besitter, og å be om at de slettes. Hvis du har bodd på eiendommer som bruker plattformer som Chekin eller Gastrodat, kan du kontakte disse plattformene direkte.

Dette bruddet er en påminnelse om at personopplysningene dine reiser med deg, ofte på måter du verken kan se eller kontrollere. Å holde seg informert om hvor informasjonen din tar veien, og ta praktiske grep for å begrense eksponeringen, er det mest effektive forsvarstiltaket som er tilgjengelig for vanlige reisende akkurat nå.