Questo post è complementare a un altro di qualche mese fa, parafrasato nel titolo. Secondo un’indagine condotta dal Sunday Herald un cracker indiano ha illegalmente ottenuto i dati di circa 8 milioni di persone che sono transitate presso le 1312 strutture europee della catena alberghiera Best Western a partire dal 2007.
Lo stesso giornale lo definisce come “il più grande crimine informatico della storia”, e sebbene non abbia un riscontro oggettivo – il VERO più grande crimine della storia, per essere tale, dovrebbe rimanere segreto – non fatico a credere che sia comunque uno dei più gravi.
Il furto comprenderebbe molti dati personali quali nomi e cognomi, numeri di telefono, indirizzi e dettagli delle carte di credito. Non è certamente la prima volta che qualcuno ruba numeri di carte di credito, ma è forse la prima volta che qualcuno ottiene una quantità tale di dati di così alta qualità. I dati tra l’altro sarebbero già stati venduti attraverso una rete di malavita russa.
Abbastanza inquietanti anche le ipotesi di uso di questi dati, che spaziano dal classico “ho tutti i dati della carta di credito, compresi la data di scadenza e il codice di controllo e posso quindi fare acquisti online finché non la bloccano” a un terribile “so nome, cognome e indirizzo di casa di tutti i clienti che hanno già prenotato un hotel Best Western nei prossimi mesi, quindi posso presumibilmente andare a svaligiargli la casa quando non ci sono”. Insomma, a vederla così è un bel pasticcio, e coinvolge una delle catene più grandi e – finora -prestigiose del pianeta.
Non sono a conoscenza dello stato dei sistemi di sicurezza della catena alberghiera, nè di quali e quante protezioni siano poste a tutela dei dati dei clienti. Quello che mi preme sottolineare è che, se confermata, l’ipotesi è che sia stato niente di più di un trojan a infettare uno dei sistemi di prenotazione, e che tramite esso siano state salvate login e password del sistema.
Quindi c’è stato quasi sicuramente un involontario aiuto umano nella riuscita dell’operazione: bisogna iniziare seriamente a capire, e se lo si è cpaito bisogna anche dare seguito conformazione adeguata, che i sistemi non saranno mai totalmente sicuri quando di mezzo ci sono persone reali. Siccome di sostituire i receptionist con automi ancora non se ne parla, è necessario dotarli di una maggiore consapevolezza, altrimenti stiamo parlando solo di aria fritta.
La risposta di Best Western non si è fatta attendere, anche se sul sito ufficiale non compare, e sminuisce la questione. Forse la sminuisce sin troppo, perché mi pare abbastanza inusuale che i dati della carta di credito vengano cancellati subito dopo la partenza del cliente. Quantomeno aspetteranno di vedere il buon esito della transazione…