Storie di hacking: il caso booking.com e il leak dei PIN


Il colosso multinazionale di Booking Holdings, gestore dell’app e del sito booking.com e che consente a chiunque di prenotare hotel e B&B in tutto il mondo, ha subito almeno un paio di attacchi informatici sostanziali nella sua storia.

Tutto nacque quando un hacker dal nome in codice Andrew (e legato ai servizi di intelligence USA) aveva avuto accesso a varie prenotazioni di hotel in vari paesi del Medio oriente. Stranamente, pero’, Booking non aveva notificato nulla pubblicamente: si scoprଠche c’era stato un data breach nel 2018, ad esempio, per i dati delle prenotazioni di hotel da quelle parti, notificato con 22 giorni di ritardo e per cui, alla fine, erano stati multati. Nel 2014 era successa una cosa simile anche con utenti italiani, tra gli altri, e anche lଠveniva lamentata una scarsa reattività  dell’azienda in termini di sicurezza informatica.

All’epoca uno sconosciuto di nazionalità  USA era entrato nei server di booking esportando le prenotazioni di vari clienti, molto probabilmente in modo contestualizzato ad attività  di spionaggio; chiaro che dal punto di vista della privacy era comunque un problema per tutti dato che, di fatto, i dati potrebbero contenere informazioni sensibili ad esempio su autorità  in visita in quei paesi. L’incidente, chiamato “leak del PIN“, a causa dei PIN sottratti di varie prenotazioni, che poi venne confermato in modo indipendente da tre specialisti della sicurezza di Booking e da un membro della direzione societaria, qualche tempo dopo la violazione.

Pubblicità – Continua a leggere sotto :-)
Cerchi alternative a Google Adsense per il tuo sito? Prova TheMoneytizer!
Usa il codice 189ed7ca010140fc2065b06e3802bcd5 per ricevere 5 € dopo l’iscrizione


(Tophost) l’ hosting web più economico – Usa il coupon sconto: 7NSS5HAGD5UC2

Senza voler per forza scomodare scenari da 007, basterebbe anche solo pensare che un furto di dati da un colosso del genere implica un aumento dei rischi legati al phishing, e a truffe sempre più credibili e infine, senza dimenticare che (sia pur con varie accortezze tecnologiche) i server di Booking contengono sicuramente anche dati di carte di credito che potrebbero trapelare all’esterno, in tutto o in parte, favorendo attività  di clonazione delle carte. All’epoca erano scattate le indagini e, dopo due mesi di ricerche, gli specialisti IT di Booking.com avevano stabilito che l’hacker era un uomo che aveva stretti legami con i servizi di intelligence americani. Chiaro che, a questo punto, scenari fantapolitici sono stati evocati, forse a ragione, dai più.

C’è anche un curioso problema legato all’interpretazione delle norme che emerse fin dall’epoca: Booking.com chiese aiuto al servizio di intelligence olandese, AIVD, nella sua indagine sul questa enorme violazione dei dati, ma non ritenne di dover informare i clienti interessati o l’Autorità  olandese per la protezione dei dati (AP). Booking sostiene da sempre che non fosse legalmente obbligata a farlo, almeno all’epoca, sulla base delle indicazioni ricevute all’epoca dal proprio studio legale; di fatto, la storia non fu troppo commentata e non sappiamo altro in merito. Di sicuro la scelta aveva causato disagio e difficoltà  nel settore IT, anche per la semplice considerazione che una fuga di dati è pur sempre un rischio per la privacy dei singoli, che troppo spesso purtroppo la nostra società  considera sacrificabile letteralmente sul primo altare che capita.

Pubblicità – Continua a leggere sotto :-)
Cerchi alternative a Google Adsense per il tuo sito? Prova TheMoneytizer!
Usa il codice 189ed7ca010140fc2065b06e3802bcd5 per ricevere 5 € dopo l’iscrizione

Sei un webmaster? Prova TheMoneytizer per il tuo sito

Nel frattempo il parere degli esperti fu chiaro: sarebbe stato più prudente informare pubblicamente chiunque sul data breach. E questo, all’epoca, non era ancora obbligatorio come lo è adesso. Secondo il docente di Diritto e tecnologie digitali Gerrit-Jan Zwenne, ad esempio, Booking non avrebbe dovuto assumere che la violazione sarebbe stata innocua per le persone coinvolte, dato che le informazioni trapelate (anagrafiche, voli presi, hotel prenotati) possono dare indicazioni precise sulle abitudini dei singoli, ed essere molto delicate o indicative.

Confermando la priorità  sui modelli di sicurezza informatica e per contrastare tecniche illecite di social engineering, Booking oggi fa appello a tecniche di informatica forense per capire cosa sia successo, confermando che la fuga di informazioni non riguarda dati finanziari e sensibili. Si fa inoltre riferimento alla normativa vigente in materia, che invita ad agire solo in presenza di danni sostanziali segnalati dai singoli, e solo in questo caso. Probabilmente questo serve a distinguere tra le varie segnalazioni che trapelano in rete, alcuni delle quali risultano essere non veritiere o “riciclate” da vecchi casi. Un vero e proprio problema anche per chi riporta le notizie, in effetti, e che deve sempre fare molta attenzione a come le riporta e alle stesse parole da usare per evitare di ingenerare il panico per nulla – o di contro, far sottovalutare il problema. Photo by Towfiqu barbhuiya on Unsplash

Pubblicità – Continua a leggere sotto :-)
Pubblicità – Continua a leggere sotto :-)

👇 Da non perdere 👇



Trovalost.it esiste da 4634 giorni (13 anni), e contiene ad oggi 4348 articoli (circa 3.478.400 parole in tutto) e 22 servizi online gratuiti. – Leggi un altro articolo a caso
Numero di visualizzazioni (dal 21 agosto 2024): 0
Pubblicità – Continua a leggere sotto :-)
Segui il canale ufficiale Telegram @trovalost https://t.me/trovalost
Seguici su Telegram: @trovalost
Privacy e termini di servizio / Cookie - Il nostro network è composto da Lipercubo , Pagare.online e Trovalost
Seguici su Telegram, ne vale la pena ❤️ ➡ @trovalost
Questo sito contribuisce alla audience di sè stesso.