Nieuws
image

Hotelmanagementplatform Otelier lekt data gasten Marriott, Hilton en Hyatt

zaterdag 18 januari 2025, 10:24 door Redactie, 4 reacties

Otelier, een platform dat hotelketens wereldwijd gebruiken voor het beheren van reserveringen, transacties en facturatie, is getroffen door een aanval waarbij gegevens van honderdduizenden gasten zijn gestolen. Het gaat onder andere om gasten van bekende hotelketens zoals Marriott, Hilton en Hyatt, zo meldt Troy Hunt van datalekzoekmachine Have I Been Pwned.

De aanvaller heeft naar eigen zeggen bijna acht terabyte aan data uit de Amazon S3-buckets van Otelier buitgemaakt. De aanval zou begonnen zijn met een Otelier-medewerker die met infostealer-malware besmet raakte. Dergelijke malware steelt allerlei inloggegevens van besmette systemen. Op deze manier kreeg de aanvaller toegang tot de inloggegevens van de 'Atlassian-server' van Otelier, meldt Bleeping Computer.

Vermoedelijk gaat het hier om de Jira-software van Atlassian. Dit is een ticketsysteem voor het tracken van bugs en andere problemen, alsmede projectmanagement. De aanvaller claimt dat hij binnen de tickets inloggegevens voor de S3-buckets vond en zo de terabytes aan data kon stelen. Otelier heeft de inbraak bevestigd, maar nog niet laten weten van hoeveel mensen de gegevens precies zijn gestolen.

Hunt ontving een dataset met bij Otelier gestolen data. Het ging om 437.000 e-mailadressen, alsmede gedeeltelijke creditcardgegevens, telefoonnummers, adresgegevens, aankopen en reisplannen. De e-mailadressen zijn aan Have I Been Pwned toegevoegd. Van de 437.000 buitgemaakte e-mailadressen was tachtig procent al via een datalek bij de zoekmachine bekend. Otelier claimt meer dan tienduizend hotels wereldwijd te bedienen.

Reacties (4)
Reageer met quote
Vandaag, 13:09 door Anoniem
Wat bijzonder kwalijk is is dat bijna elk hotel ter wereld bij het inchecken een scan of kopie van je paspoort wil. Met allen gevolgen van dien. Identiteitsfraude ligt op de loer. En dat terwijl banken en overheden waarschuwen om nooit iemand je legitimatie te laten kopiëren (zonder afschermen van gevoelige gegevens).

In Europa kun je nog wel eens een discussie aangaan met de medewerker achter de balie. Wat doorgaans tot veel onbegrip leidt. Maar dan kom je soms weg met het overnemen van het paspoortnummer in plaats van een hele kopie.

Maar dat hoef je in landen als India, China, VS, etc. natuurlijk niet te proberen. Daar valt weinig te discussiëren.
Maar ook dat het in Europa tot heftige discussies leidt is eigenlijk schandalig.

En hotelketens hebben tegenwoordig automatische check ins waarbij je je paspoort op een scanner moet leggen.

Allemaal beloven ze “je privacy serieus te nemen”.

Totdat het misgaat uiteraard. En alles lekt een keer uit.
Reageer met quote
Vandaag, 13:10 door linuxpro
Als 't klopt dan is wederom aangetoond dat de mens de zwakste schakel in securityland is en daar doe je helaas ernstig weinig tegen.
Reageer met quote
Vandaag, 13:40 door Anoniem
In 2018 had Marriot een nog groter datalek, gegevens van 500 miljoen klanten van het in 2016 door hen overgenomen Starwood lekten toen¹. Kennelijk was dat na een andere inbraak in dat systeem in 2015 die 8 maanden lang niet was opgemerkt. En hoewel duidelijk was dat dat systeem problematisch was heeft men bij de overname management en IT van de overgenomen keten ontslagen zonder dat men klaar was om ze te laten overstappen op de systemen van Marriot zelf². Daar is nog sprake van een in-house reserveringssysteem, maar afgaande op dit nieuws is dat kennelijk niet meer wat ze nu gebruiken en hebben ze het nu aan een externe partij uitbesteed. En kennelijk heeft die externe partij, Otelier, zijn zaakjes slecht genoeg op orde om privacygevoelige data op te slaan in S3-buckets zonder 2FA en om de credentials ervan in een bug tracking-systeem rond te laten slingeren.

Dit is dweilen met de kraan open.

¹ https://www.security.nl/posting/589455/Een+na+grootste+datalek+ooit+bij+hotelketen+Marriot
² https://www.csoonline.com/article/567795/marriott-data-breach-faq-how-did-it-happen-and-what-was-the-impact.html
Reageer met quote
Vandaag, 15:58 door Anoniem
Door linuxpro: Als 't klopt dan is wederom aangetoond dat de mens de zwakste schakel in securityland is en daar doe je helaas ernstig weinig tegen.

Het is ook wel erg veel data in een mandje (bucket).

Dat je van één medewerker naar een ticketsysteem naar alle noodzakelijke gegevens voor toegang tot volledige data komt - het zou niet zo makkelijk moeten zijn.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Advertentie
Certified Secure