Venerdì 30 novembre scorso Mariott, la più grande multinazionale alberghiera al mondo, ha reso noto in un comunicato sul proprio sito che il proprio sistema di prenotazione Starwood è stato violato da un attacco hacker iniziato nel 2014 ed intercettato solo nel settembre 2018 grazie ad una segnalazione di accesso non autorizzato. A novembre 2018 Mariott ha avuto la certezza che per 4 anni i dati di una moltitudine di ospiti sono stati esposti all’incursione. Un’evenienza che certifica che i sistemi di intrusion detection a protezione del sistema erano del tutto inadeguati.
I dati violati riguardano solo i clienti di alcuni hotel del gruppo, fatto che trova spiegazione in una recente operazione di M&A. Fino a non molto tempo fa la “Starwood Hotels and Resorts Worldwide” era un gruppo alberghiero a sé stante che vantava nel suo bouquet famose catene come Sheraton, Westin, St. Regis, Le Méridien, e Design Hotels. Nel 2016 Mariott International – battendo una concorrente offerta cinese – ha acquisito Starwood per 13,6 miliardi di USD; una fusione grazie (anche) alla quale oggi al quartier generale di Mariott in Maryland fanno riferimento circa 6.700 strutture in 130 paesi del mondo.
Sebbene Mariott abbia pianificando di accorpare i propri sistemi di prenotazione a quelli della piattaforma utilizzata da Starwood, questa è ad oggi ancora un sistema dedicato e pertanto solo gli ospiti degli Starwood hotel sono interessati dalla violazione di sicurezza. Il problema è che le strutture di Starwood sono tantissime e frequentatissime, e – soprattutto – il data breach ha una “profondità” di quattro anni. L’insieme di questi fattori fa sì che il numero di persone coinvolte è spaventoso.
I dati di circa 500 milioni di clienti che sono in questi anni transitati negli hotel a brand Starwood sono oggi a forte rischio. Sicuramente gli incursori hanno potuto accedere a: informazioni anagrafiche, recapiti e-mail telefonici e di residenza, i numeri di passaporto, credenziali degli iscritti all’area “Starwood Preferred Guest” e date di check-in e check-out dagli hotel. Oltre a questo già cospicuo pacchetto, gli hacker hanno avuto facoltà di acquisire alcuni numeri delle carte di credito, ma non v’è per ora traccia che esse siano state utilizzate.
Ora il timore è che i cyber-incursori possano vendere i dati nel deep web e permetterne a terzi un uso improprio (furto di identità, pagamenti fraudolenti, etc.). E c’è da scommettere che molti clienti saranno in ambasce anche per la più semplice possibilità di diffusione sul web, se è vero (come è vero) che gli hotel sono l’approdo naturale di una scappatella.
La multinazionale – che ha perso immediatamente il 6% in borsa – ha istituito un apposita pagina web per dare piene spiegazioni e fornire supporto agli interessati (offerto 1 anno di monitoraggio gratis del web per individuare indebiti utilizzi dei dati).
Trattasi, almeno sulla carta, del secondo furto di dati più grande della storia quanto a numero di persone interessate. Leader incontrastato della triste classifica rimane l’attacco del 2013 ai danni di Yahoo! (3 miliardi di account violati). Quello che ha colpito Mariott supera di poco l’incursione del 2016 contro la piattaforma di siti pornografici e online dating della Friend Finder Network (violati 412 milioni di account di portali come Adult Friend Finder, Penthouse e altri collegati) e per distacco l’offensiva alla regina del credit rating Equifax (143 milioni di “vittime”).
Qualche esperto di cyber-security (vedi qui dal Washington Post) ipotizza che le caratteristiche dell’attacco siano – per target, tipologia e vastità – compatibili con attività di spionaggio internazionale.
Stante la dimensione globale del data breach, c’è da aspettarsi che – come ormai doveroso in questi casi (vedasi, a recentissimo esempio, il caso Uber) – anche le Autorità di controllo europee si muoveranno presto per avere maggiori informazioni in vista di possibili sanzioni ai sensi del GDPR.
