Nel lontano 2016, Booking è stata vittima di un attacco hacker, ma non l’ha mai rivelato a nessuno. Vediamo perché.
Booking, la società di prenotazioni alberghiere, è stata vittima di un attacco hacker nel 2016. L’hacker americano ha raccolto le informazioni per conto di un’agenzia di intelligence. L’azienda non ne ha mai parlato.
Cos’è successo?
Un hacker che lavora per un’agenzia di intelligence statunitense ha violato i server del servizio di prenotazioni alberghiere Booking.com, sottraendo dati di utenti residenti in Medio Oriente, nello specifico Arabia Saudita, Qatar ed Emirati Arabi Uniti.
Qual è la fonte?
A rivelarlo è il libro “De Machine: In de ban van Booking.com” dove viene inoltre raccontato che Booking.com ha scelto di non divulgare pubblicamente l’accaduto. Il libro è stato scritto da tre giornalisti del quotidiano nazionale olandese NRC, i quali evidenziano come il nome usato internamente da Booking.com per indicare la violazione fosse “PIN-leak” perché essa riguardava la sottrazione dei PIN delle prenotazioni.
I tre giornalisti raccontano come gli hacker hanno avuto accesso a tre informazioni estremamente sensibili:
- Prenotazioni alberghiere dei clienti
- Nomi e cognomi dei clienti
- Piani di viaggio dei clienti
La collaborazione tra un team di investigatori privati statunitensi e il dipartimento di sicurezza di Booking.com ha portato alla scoperta che l’hacker in questione era un americano assoldato da una società che lavorava per un’agenzia di intelligence statunitense, la quale però non è mai stata individuata.
LEGGI ANCHE: Riscatto da un milione di dollari per hackeraggio del sito di una comunità LGBTQ
Perché Booking non ne ha fatto parola con nessuno?
Booking.com, che ha sede ad Amsterdam, ha preso la decisione di non rendere noto l’incidente dopo aver contattato il servizio di intelligence olandese, AVID, per avviare le indagini sulla violazione dei sistemi. Il consiglio di non farne parola né con clienti né tanto meno con le autorità olandese per la protezione dei dati, viene da un consulente legale.
Il motivo? L’azienda, dal momento che non vi sarebbe stato accesso a informazioni sensibili o finanziarie, non era tenuta ad adempiere ad alcun obbligo di comunicazione pubblica in quanto non furono individuate prove di “conseguenze negative effettive sulla vita privata delle persone”.
LEGGI ANCHE: Attacco ai sistemi per certificati vaccinali EU: minaccia hacker concreta?
I dati che hanno fatto gola agli hacker
I dati che riguardano piani di viaggio e prenotazioni alberghiere sono una vera miniera d’oro per gli hacker che lavorano per i governi nazionali.
E questa non è sicuramente la prima volta che successe una cosa del genere. Se riapriamo il cassetto della memoria, ci ricordiamo l’operazione “Royal Concierge” rivelata nel 2013 da un informatore dell’NSA e che ha visto protagoniste le spie del GCHQ britannico nel tracciare le prenotazioni di oltre 350 hotel di lusso in tutto il mondo. I dati raccolti sono stati usati per individuare le strutture alberghiere in cui alloggiavano obiettivi di interesse, così che gli agenti operativi in loco potessero dislocare cimici nelle loro stanze.
Un altro caso è l’operazione Dark Hotel, rivelata nel 2014 da Kaspersky Labs. In pratica si sfruttavano le reti WiFi degli hotel per compromettere i dispositivi di obiettivi specifici, con lo scopo di ottenere accesso a informazioni sensibili nel contesto di attività di spionaggio. L’operazione ha preso di mira in particolare funzionari politici e dirigenti di livello globale ed è stata condotta con grande probabilità da hacker al soldo di un governo.
