Storie di hacking: il caso booking.com e il leak dei PIN

Argomenti:
Pubblicato il: 11-11-2021 10:34

Il colosso multinazionale di Booking Holdings, gestore dell’app e del sito booking.com e che consente a chiunque di prenotare hotel e B&B in tutto il mondo, ha subito almeno un paio di attacchi informatici sostanziali nella sua storia.

Tutto nacque quando un hacker dal nome in codice Andrew (e legato ai servizi di intelligence USA) aveva avuto accesso a varie prenotazioni di hotel in vari paesi del Medio oriente. Stranamente, pero’, Booking non aveva notificato nulla pubblicamente: si scoprì che c’era stato un data breach nel 2018, ad esempio, per i dati delle prenotazioni di hotel da quelle parti, notificato con 22 giorni di ritardo e per cui, alla fine, erano stati multati. Nel 2014 era successa una cosa simile anche con utenti italiani, tra gli altri, e anche lì veniva lamentata una scarsa reattività dell’azienda in termini di sicurezza informatica.

All’epoca uno sconosciuto di nazionalità USA era entrato nei server di booking esportando le prenotazioni di vari clienti, molto probabilmente in modo contestualizzato ad attività di spionaggio; chiaro che dal punto di vista della privacy era comunque un problema per tutti dato che, di fatto, i dati potrebbero contenere informazioni sensibili ad esempio su autorità in visita in quei paesi. L’incidente, chiamato “leak del PIN“, a causa dei PIN sottratti di varie prenotazioni, che poi venne confermato in modo indipendente da tre specialisti della sicurezza di Booking e da un membro della direzione societaria, qualche tempo dopo la violazione.

Senza voler per forza scomodare scenari da 007, basterebbe anche solo pensare che un furto di dati da un colosso del genere implica un aumento dei rischi legati al phishing, e a truffe sempre più credibili e infine, senza dimenticare che (sia pur con varie accortezze tecnologiche) i server di Booking contengono sicuramente anche dati di carte di credito che potrebbero trapelare all’esterno, in tutto o in parte, favorendo attività di clonazione delle carte. All’epoca erano scattate le indagini e, dopo due mesi di ricerche, gli specialisti IT di Booking.com avevano stabilito che l’hacker era un uomo che aveva stretti legami con i servizi di intelligence americani. Chiaro che, a questo punto, scenari fantapolitici sono stati evocati, forse a ragione, dai più.

C’è anche un curioso problema legato all’interpretazione delle norme che emerse fin dall’epoca: Booking.com chiese aiuto al servizio di intelligence olandese, AIVD, nella sua indagine sul questa enorme violazione dei dati, ma non ritenne di dover informare i clienti interessati o l’Autorità olandese per la protezione dei dati (AP). Booking sostiene da sempre che non fosse legalmente obbligata a farlo, almeno all’epoca, sulla base delle indicazioni ricevute all’epoca dal proprio studio legale; di fatto, la storia non fu troppo commentata e non sappiamo altro in merito. Di sicuro la scelta aveva causato disagio e difficoltà nel settore IT, anche per la semplice considerazione che una fuga di dati è pur sempre un rischio per la privacy dei singoli, che troppo spesso purtroppo la nostra società considera sacrificabile letteralmente sul primo altare che capita.

Nel frattempo il parere degli esperti fu chiaro: sarebbe stato più prudente informare pubblicamente chiunque sul data breach. E questo, all’epoca, non era ancora obbligatorio come lo è adesso. Secondo il docente di Diritto e tecnologie digitali Gerrit-Jan Zwenne, ad esempio, Booking non avrebbe dovuto assumere che la violazione sarebbe stata innocua per le persone coinvolte, dato che le informazioni trapelate (anagrafiche, voli presi, hotel prenotati) possono dare indicazioni precise sulle abitudini dei singoli, ed essere molto delicate o indicative.

Confermando la priorità sui modelli di sicurezza informatica e per contrastare tecniche illecite di social engineering, Booking oggi fa appello a tecniche di informatica forense per capire cosa sia successo, confermando che la fuga di informazioni non riguarda dati finanziari e sensibili. Si fa inoltre riferimento alla normativa vigente in materia, che invita ad agire solo in presenza di danni sostanziali segnalati dai singoli, e solo in questo caso. Probabilmente questo serve a distinguere tra le varie segnalazioni che trapelano in rete, alcuni delle quali risultano essere non veritiere o “riciclate” da vecchi casi. Un vero e proprio problema anche per chi riporta le notizie, in effetti, e che deve sempre fare molta attenzione a come le riporta e alle stesse parole da usare per evitare di ingenerare il panico per nulla – o di contro, far sottovalutare il problema. Photo by Towfiqu barbhuiya on Unsplash

5/5 (1)

Che te ne pare?

Grazie per aver letto Storie di hacking: il caso booking.com e il leak dei PIN di Salvatore Capolupo su Trovalost.it
Storie di hacking: il caso booking.com e il leak dei PIN (News, Pensare)

Articoli più letti su questi argomenti:

Seguici su Telegram: @trovalost