GDPR per Hotel, B&B e strutture ricettive

L’industria dell’hospitality è tra le più esposte al rischio cybercrime: un’affermazione, questa, confermata dal data breach che nel mese di giugno ha coinvolto Fastbooking, un’azienda terza che sviluppa e vende la piattaforma di prenotazione online disponibile sui siti degli alberghi stessi. È evidente, quindi, come una corretta applicazione del GDPR in hotel, b&b, strutture ricettive in genere è indispensabile per prevenire ogni possibile violazione dei dati gestiti dalla struttura turistica e soprattutto di quelli gestiti da terze parti, proprio come nel caso dell’attacco a Fastbooking.

Il GDPR in albergo per ridurre il cyber risk
Subire un data breach rappresenta un danno diversificato per il titolare del trattamento e in questo caso per la possibile struttura alberghiera.

Oltre al danno di reputazione, oltre al danno di ripristino del servizio, dobbiamo necessariamente aggiungere i danni relativi alle possibili sanzioni amministrative del Garante, a cui aggiungere la possibile richiesta di risarcimento danni da parte degli utenti/interessati dei dati.

È ovvio che la gestione della sicurezza necessita di un nuovo approccio culturale. Il mindset deve necessariamente considerare anche la questione relativa ai cyber risk. Tra questi rischi dobbiamo includere anche la gestione delle terze parti nel cyber security framework che ogni struttura deve adottare e prevedere.

Nello specifico, le strutture alberghiere dovrebbero farsi garantire dai fornitori di servizi che gestiscono per conto terzi dati personali e sensibili non solo le certificazioni varie ma anche:

  • evidenza del piano di vulnerability management
  • evidenze delle attività periodiche di vulnerability assessment
  • evidenza delle attività periodiche di network scan
  • evidenza delle attività di code review (analisi del codice sorgente)
    garantire l’attività costante e periodica relativa a patching e update dei sistemi
  • piani di incident handling e incident management
  • Ovviamente l’utilizzo di sistemi di crittografia e l’adozione delle soluzioni di security che rientrano nelle best practice della sicurezza preventiva sono sempre ben accetti.

Come indicato, i rischi cyber legati alle terze parti rappresentano solo uno dei possibili rischi di attacco informatico. Rimangono invariate le attenzioni relative ai rischi:

  • phishing
  • ransomware
  • DDoS
  • Point of Sale (POS)
  • DarkHotel
  • furto d’identità


Come proteggersi? Adottando prima di tutto gli strumenti e principi base della security prevention:

  • formazione del personale
  • attività periodiche di vulnerability assessment
  • attività periodiche di network scan.

Turismo, una miniera di dati che fa gola ai criminal hacker
Un recente studio di STR, una nota società che effettua analisi di mercato, ha registrato una crescita interessante dell’industria alberghiera europea. Nello specifico, ad aprile la percentuale di occupazione degli hotel è cresciuta del 1,5% e la permanenza media del 2,9%. Questi incrementi di percentuale hanno di fatto creato un beneficio diretto al fatturato, che ha giovato di un incremento pari al 4,4%.

Anche in Italia i dati relativi al mese di aprile fanno ben sperare per l’economia del turismo nazionale. È stato rilevato un aumento del 1,1% nell’occupazione degli alberghi e un aumento della permanenza del 1,6%. Anche in questo caso, il fatturato dell’hospitality italiana è salito del 2,8%.

Tanti clienti e tante carte di credito. Tutti estremamente contenti e soddisfatti: soprattutto, lo sono anche i criminal hacker.

Se non fosse chiaro ed evidente, il mondo degli hotel è un target interessante per il rapporto dati/sicurezza.

La qualità dei dati è estremamente interessante; gli hotel di fatto dispongono di tutte le informazioni dei propri clienti registrandoli al check-in, unitamente ai dati della carta di credito.

D’altro canto, i livelli di sicurezza non possono sicuramente essere paragonati a quelli di una banca.

Cyber risk in hotel: il pericolo arriva dall’esterno
Fastbooking, è il caso di dirlo, è il terzo che non ti aspetti. È una società di sviluppo piattaforme di prenotazione ed e-commerce che sono messe a disposizione degli albergatori e in generale a disposizione dell’industria dell’Hospitality.

È una azienda francese di tutto rispetto, come riportato dal sito di Fastbooking stessa:

  • 8.000 hotel partner in 100 Paesi
  • 10 milioni di richieste sui loro server ogni giorno
  • 1.2 milioni di transazioni all’anno
  • 1.2 miliardi di euro generati per i loro hotel partner dal 2000

Dopo aver elencato questi numeri credo che la notizia di giugno, relativa al data breach subito da Fastbooking, abbia fatto preoccupare, e non poco, molti dei suoi hotel partner/clienti.

Sembrerebbe che i criminal hacker abbiano usato una vulnerabilità presente in una web application del sito web di Fastbooking. Alcune indiscrezioni, non confermate dalla stessa Fastbooking, rivelano che la vulnerabilità sfruttata fosse dovuta ad un sistema non patchato. Per intenderci, la vulnerabilità era nota.

Come da prassi nel mondo del criminal hacking, dopo aver ottenuto l’accesso al sistema informatico, i malintenzionati hanno installato un malware che aveva lo scopo di rubare e sottrarre informazioni e dati. Molto probabilmente il malware usato era della famiglia dei RAT. Stiamo parlando dei Remote Access Trojan.

Come riportato dal Cert, Il RAT “è un malware che contiene una backdoor che consente ad un utente non autorizzato il controllo amministrativo da remoto del computer su cui è installato. I RAT vengono generalmente scaricati da Internet e installati all’insaputa dell’utente, ad esempio mascherati come un’applicazione apparentemente innocua, come un gioco o un’utility, o inviati come allegati ad email malevole. Una volta che il sistema è compromesso, il RAT fornisce una porta attraverso la quale un’attaccante può inviare comandi al malware. Poiché un RAT viene eseguito con i privilegi di amministratore, chi lo controlla può compiere qualsiasi tipo di azione malevola. Spesso i RAT sono utilizzati per realizzare delle botnet.”

Il cyber attack ha compromesso migliaia di dati. Non solo i dati degli hotel partner, ma anche e soprattutto i dati degli utenti/clienti dei loro partner. Le informazioni che hanno subito il data breach riguardano i nomi e cognomi, gli indirizzi fisici, gli indirizzi email, i dati di prenotazione, i dati delle carte di credito e via dicendo.

Per farla breve, tutte le informazioni che ognuno di noi fornisce al momento della prenotazione, al check-in e al check-out, servizi aggiuntivi e “altro” compreso.

In linea generale, sembrerebbe che in Hotel e catene in Giappone siano stati rubati circa 320.000 dati di clienti.

La catena Washington Hotel ha segnalato un transito anomalo nel traffico di rete pari a 25.000 bit di informazioni.

La cosa particolare di questo attacco a Fastbooking è che la modalità e vulnerabilità sfruttata è estremamente simile ad un altro cyber attack avvenuto qualche settimana prima nei confronti di Pageup.

Quando si dice la coincidenza. Anche in questo caso, Pageup è una società australiana che fornisce sistemi e piattaforme tecnologiche per la gestione HR (Human Resource) delle aziende.

Oltre alla modalità di attacco, è anche abbastanza evidente come il target sia estremamente similare.

Sicurezza informatica per l’intera industria turistica
Nel nostro mondo di interconnessione e di integrazione, spesso i punti di accesso per effettuare gli attacchi informatici non sono mai diretti al target, ma spesso viene identificata una “terza parte”. Il motivo? Si cerca l’anello debole. Come indicato all’inizio, gli attacchi informatici vengono effettuati sempre in ottica dati/sicurezza e gli hotel non hanno parametri di sicurezza a livello di una banca.

Se questa premessa è condivisa, possiamo anche tranquillamente affermare che i fornitori degli Hotel non sempre dispongono dei parametri di sicurezza a livello degli hotel stessi.

E in termini di dati? Nel nostro caso, e non solo, i fornitori gestiscono tanti e diversi hotel. Quindi, attaccando un fornitore, il volume dei dati è sempre maggiore rispetto ad attaccare il singolo hotel. È una semplice questione di efficienza ed efficacia a cui aggiungiamo un tema di riduzione dei costi, che è sempre ben apprezzato anche dai criminal hacker.

Era ipotizzabile un attacco a Fastbooking, o meglio, a piattaforme terze legate al mondo dell’hospitality? La risposta, purtroppo, è sì. C’erano le evidenze e i primi early warning.

L’anno scorso i criminal hacker hanno violato l’azienda Sabre e ad inizio di quest’anno Orbitz è stata oggetto di un data breach.

Privacy Policy Settings

X