Storie di hacking: il caso booking.com e il leak dei PIN

Il colosso multinazionale di Booking Holdings, gestore dell’app e del sito booking.com e che consente a chiunque di prenotare hotel e B&B in tutto il mondo, ha subito almeno un paio di attacchi informatici sostanziali nella sua storia.

Tutto nacque quando un hacker dal nome in codice Andrew (e legato ai servizi di intelligence USA) aveva avuto accesso a varie prenotazioni di hotel in vari paesi del Medio oriente. Stranamente, pero’, Booking non aveva notificato nulla pubblicamente: si scoprଠche c’era stato un data breach nel 2018, ad esempio, per i dati delle prenotazioni di hotel da quelle parti, notificato con 22 giorni di ritardo e per cui, alla fine, erano stati multati. Nel 2014 era successa una cosa simile anche con utenti italiani, tra gli altri, e anche lଠveniva lamentata una scarsa reattività  dell’azienda in termini di sicurezza informatica.

All’epoca uno sconosciuto di nazionalità  USA era entrato nei server di booking esportando le prenotazioni di vari clienti, molto probabilmente in modo contestualizzato ad attività  di spionaggio; chiaro che dal punto di vista della privacy era comunque un problema per tutti dato che, di fatto, i dati potrebbero contenere informazioni sensibili ad esempio su autorità  in visita in quei paesi. L’incidente, chiamato “leak del PIN“, a causa dei PIN sottratti di varie prenotazioni, che poi venne confermato in modo indipendente da tre specialisti della sicurezza di Booking e da un membro della direzione societaria, qualche tempo dopo la violazione.

Senza voler per forza scomodare scenari da 007, basterebbe anche solo pensare che un furto di dati da un colosso del genere implica un aumento dei rischi legati al phishing, e a truffe sempre più credibili e infine, senza dimenticare che (sia pur con varie accortezze tecnologiche) i server di Booking contengono sicuramente anche dati di carte di credito che potrebbero trapelare all’esterno, in tutto o in parte, favorendo attività  di clonazione delle carte. All’epoca erano scattate le indagini e, dopo due mesi di ricerche, gli specialisti IT di Booking.com avevano stabilito che l’hacker era un uomo che aveva stretti legami con i servizi di intelligence americani. Chiaro che, a questo punto, scenari fantapolitici sono stati evocati, forse a ragione, dai più.

C’è anche un curioso problema legato all’interpretazione delle norme che emerse fin dall’epoca: Booking.com chiese aiuto al servizio di intelligence olandese, AIVD, nella sua indagine sul questa enorme violazione dei dati, ma non ritenne di dover informare i clienti interessati o l’Autorità  olandese per la protezione dei dati (AP). Booking sostiene da sempre che non fosse legalmente obbligata a farlo, almeno all’epoca, sulla base delle indicazioni ricevute all’epoca dal proprio studio legale; di fatto, la storia non fu troppo commentata e non sappiamo altro in merito. Di sicuro la scelta aveva causato disagio e difficoltà  nel settore IT, anche per la semplice considerazione che una fuga di dati è pur sempre un rischio per la privacy dei singoli, che troppo spesso purtroppo la nostra società  considera sacrificabile letteralmente sul primo altare che capita.

Nel frattempo il parere degli esperti fu chiaro: sarebbe stato più prudente informare pubblicamente chiunque sul data breach. E questo, all’epoca, non era ancora obbligatorio come lo è adesso. Secondo il docente di Diritto e tecnologie digitali Gerrit-Jan Zwenne, ad esempio, Booking non avrebbe dovuto assumere che la violazione sarebbe stata innocua per le persone coinvolte, dato che le informazioni trapelate (anagrafiche, voli presi, hotel prenotati) possono dare indicazioni precise sulle abitudini dei singoli, ed essere molto delicate o indicative.

Confermando la priorità  sui modelli di sicurezza informatica e per contrastare tecniche illecite di social engineering, Booking oggi fa appello a tecniche di informatica forense per capire cosa sia successo, confermando che la fuga di informazioni non riguarda dati finanziari e sensibili. Si fa inoltre riferimento alla normativa vigente in materia, che invita ad agire solo in presenza di danni sostanziali segnalati dai singoli, e solo in questo caso. Probabilmente questo serve a distinguere tra le varie segnalazioni che trapelano in rete, alcuni delle quali risultano essere non veritiere o “riciclate” da vecchi casi. Un vero e proprio problema anche per chi riporta le notizie, in effetti, e che deve sempre fare molta attenzione a come le riporta e alle stesse parole da usare per evitare di ingenerare il panico per nulla – o di contro, far sottovalutare il problema. Photo by Towfiqu barbhuiya on Unsplash



Questo blog pubblica contenuti ed offre servizi free da 11 anni. – Leggi un altro articolo a caso – Per informazioni contattaci
5/5 (1)

Ti piace questo articolo? Vota e fammelo sapere.

Storie di hacking: il caso booking.com e il leak dei PIN
SMSHosting Usa il codice PROMO per uno sconto sul primo acquisto: PRT96919
towfiqu barbhuiya em5w9 xj3uU unsplash
Torna su