Non si parla solo di major e The Pirate Bay in questi ultimi scampoli d’estate: il sistema di prenotazione online della catena internazionale di alberghi Best Western sarebbe stato compromesso, consentendo il furto dei dati sensibili dei clienti transitati per il servizio nel corso degli ultimi anni.
La breccia , che se venisse confermata si configurerebbe come una delle più clamorose di sempre , avrebbe avuto come protagonista un criminale indiano, impropriamente definito “hacker” dal reporter del Sunday Herald che ha reso pubblica la vicenda. Un criminale abile nel riuscire a installare un trojan su uno dei sistemi usati per le prenotazioni. Il malware sarebbe poi stato impiegato per rubare le credenziali di accesso dei membri dello staff, servite poi a collezionare informazioni personali, numeri di carte di credito e quant’altro riconducibile ai clienti Best Western degli ultimi due anni.
Il criminale avrebbe messo a frutto il bottino degli account dello staff, vendendolo ai migliori offerenti attraverso un network gestito dalla mafia russa (probabilmente il famigerato Russian Business Network ). A questo punto, sostengono gli esperti, sfruttando le credenziali rubate sarebbe un gioco da ragazzi per i cracker programmare un bot con cui fare piazza pulita di carte Visa e patenti di guida assortite: con 1.312 hotel sparsi ai quattro angoli del globo e 86.375 stanze occupate all’anno, una possibile stima dei danni complessivi potrebbe aggirarsi attorno agli 8,2 miliardi di dollari .
“Ci sono un gran numero di servizi di vendita online con i database compromessi – sostiene l’ex-hacker e ora dipendente Prevx Jacques Erasmus – ma il volume netto e la qualità delle informazioni rubate nel raid contro Best Western rende quest’ultimo un caso estremamente raro. Le gang russe specializzate in questo genere di lavoro avranno cominciato a sfruttare le informazioni non appena esse sono divenute disponibili nella notte di giovedì. Nelle mani sbagliate ci sono abbastanza dati da scatenare un’ondata criminale di portata europea”.
Erasmus spiega che le politiche di sicurezza basate su soluzioni antivirali su cui fanno affidamento le grosse realtà come Best Western sono insufficienti, perché un siffatto genere di software di protezione sarebbe in grado di identificare solo il 60% delle minacce attualmente in circolazione. L’esperto tira naturalmente l’acqua al mulino del suo datore di lavoro, Prevx appunto, specializzato nella fornitura di sistemi di protezione proattiva che non si limitano a fare affidamento sulle signature antivirali aggiornate con periodicità variabile.
Dal canto suo, la catena di hotel ha risposto ufficialmente all’articolo pubblicato sul quotidiano inglese smentendo l’esistenza di una breccia così estesa come quella descritta . “Le affermazioni riguardanti l’archivio centrale di prenotazione per i clienti non sono esatte”, ha specificato Best Western, fornendo altresì rassicurazioni sull’efficacia delle politiche di sicurezza della società e rivelando che “il reporter del Sunday Herald ha portato alla nostra attenzione la possibile compromissione di una porzione limitata di informazioni in un singolo hotel”.
La breccia insomma ci sarebbe stata, ma andrebbe pesantemente ridimensionata nelle sue potenziali conseguenze. Gli osservatori non risparmiano tuttavia le critiche, e c’è chi, come InformationWeek , definisce il comunicato di Best Western come un’occasione per complicare ulteriormente la questione e sollevare nuovi dubbi , piuttosto che contribuire a chiarire l’accaduto. Ad esempio, si domanda il magazine, gli hotel eliminano le informazioni sui clienti una volta che questi sono partiti? Poco importa , conclude Information Week , visto che “se ci fosse stato un trojan presente da qualche parte in ascolto sulle linee di Best Western, non sarebbe rilevante sapere se i dati vengano ripuliti alla partenza dell’ospite. Li si sarebbe potuti intercettare in tempo reale, ben prima della loro cancellazione”. Il mistero sulla breccia Best Western continua insomma a tenere banco.
Alfonso Maruccia