Angrep på Best Westerns reservasjonssystemer

"Det har versert en historie i diverse medier sist helg at Best Westerns reservasjonssystem er blitt angrepet av en hacker, og at fortrolig informasjon om over åtte millioner Best Western-gjester er kommet på avveie. Den ble publisert av Glasgow Sunday Herald sist helg, og straks dette kom Best Western International for øre, satte man naturlig nok i gang grundige undersøkelser for å finne ut hvilket omfang dette eventuelt hadde", heter det i en pressemelding fra Best Western Norge.

Historien gikk ut på at en indisk hacker hadde brutt seg inn i BW's reservasjonssystemer og stjålet personlig data til åtte millioner gjester som hadde bodd på 1300 BW-hoteller i løpet av de siste 12 månedene. Disse data skulle være videresolgt til en russisk kriminell organisasjon.

Indisk hacker

Dette heter det videre i pressemeldingen fra Best Western:

"Best Western International kan bekrefte at den 21. august i år ble det gjort tre forskjellige forsøk på å tilegne seg data fra et enkelt hotell via én og samme bruker-ID.

Hotellet det dreier seg om er Best Western Hotel am Schloss Kopenick i Berlin, Tyskland. Et virus, en trojansk hest, ble oppdaget av hotellets antivirussystem. Bruker-ID'en som ble angrepet, ga tilgang til reservasjonsdata kun på dette hotellet. Bruker-ID'en ble straks sperret, og datamaskinen tatt ut av bruk.

Best Western kan også bekrefte at man har brakt på det rene at kun 10 gjester er blitt berørt av dette angrepet. Disse gjestene er kontaktet, og blir tilbudt nødvendig assistanse for å begrense eventuelle skadevirkninger"

Best Western International samarbeider med FBI og internasjonale myndigheter for å undersøke saken nærmere.

Sikkerhet

Den angrepne bruker-ID'en tillot tilgang til reservasjoner på et enkelt hotell, og det finnes ikke noe bevis på at det har foregått lignende angrep på noe annet Best Western-hotell.

Best Western sletter alle reservasjonsdata innen 7 dager etter gjestens avreise fra hotellet. På denne måten begrenses potensiell tilgang til data på

1) gjester som hadde avreise for mer enn 1 uke siden,

2) boende gjester, og

3) fremtidige gjester på dette spesifikke hotellet.

Det er ikke funnet noe bevis på noen uautorisert tilgang til noen annen gjesteinformasjon.

"I vår daglige utførelse av vår forretningsvirksomhet forholder Best Western seg strengt til Payment Card Industry (PCI) Data Security Standards (DSS). For å overholde disse standardene, har Best Western et sikkert nettverk som er beskyttet av brannmurer og overvåket av en meget streng sikkerhetspolicy. Vi tester våre systemer og prosesser regelmessig for å beskytte gjesteinformasjon, og benytter oss av uavhengige partnere for å evaluere våre sikkerhetstiltak. Vi sletter også kredittkort informasjon og alle andre gjestedata ved gjestens avreise.

På grunn av gjeldende IT-sikkerhetstiltak og manglende bevis på reelle forsøk på å angripe våre systemer uten autorisasjon, vil vårt fremste ansvar nå være følgende:

* Fortsette å overvåke alle systemer for å oppdage eventuell aktivitet av denne typen

* Å assistere myndigheter og våre kredittkort partnere i deres undersøkelser

* Å forsterke vårt allerede strenge data sikkerhets regime, som selvfølgelig er i samsvar med PCI standarder

* Å forsterke og understreke viktigheten av data sikkerhets systemer på våre 4200 medlemshoteller verden over

Best Western er meget aktive innen alle disse fire områdene på vegne av våre gjester og medlemshoteller"