GDPR Ξενοδοχείων: Η διαρροή της αλυσίδας Radisson 

Ο όμιλος Radisson, ο οποίος περιλαμβάνει περισσότερα από 1.400 ξενοδοχεία σε περισσότερες από 70 χώρες, ανέφερε την 1η Οκτωβρίου 2018 μια παραβίαση προσωπικών δεδομένων που ανήκουν σε “ένα μικρό ποσοστό” μελών του προγράμματος loyalty Radisson Rewards.

Είναι πιθανό οτι η εν λόγω διαρροή να αποτελέσει την πρώτη ουσιαστική περίπτωση εφαρμογής του GDPR και των σχετικών προστίμων που απορρέουν από αυτόν.

Όλα τα θιγόμενα μέλη ειδοποιήθηκαν μέσω ηλεκτρονικού ταχυδρομείου, αλλά η ομάδα της Radisson χρειάστηκε περισσότερο από ένα μήνα για να αναφέρει την παραβίαση, και όχι εντός των 72 ωρών όπως απαιτείται από τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR) της ΕΕ. 

Ο ξενοδοχειακός όμιλος περιλαμβάνει εμπορικά σήματα όπως το Park Plaza, το Park Inn, το Radisson Blu, το Radisson Red, το Country Inn & Suites και το Radisson Collection. Τα μέλη του συστήματος loyalty είναι πολύ πιθανό να συμπεριλαμβάνουν πολίτες της ΕΕ που καλύπτονται από το GDPR. Ο όμιλος έχει επίσης την έδρα της στην ΕΕ, και συγκεκριμένα στις Βρυξέλλες.

Σύντομο Ιστορικό

Η Radisson δήλωσε ότι την 1η Οκτωβρίου είχε εντοπίσει ένα περιστατικό ασφάλειας δεδομένων που επηρέαζε τα μέλη του Radisson Rewards. Κατόπιν ανάλυσης του περιστατικού, ο όμιλος ανακοίνωσε οτι δεν αποκαλύφθηκαν πληροφορίες πιστωτικών καρτών, κωδικοί πρόσβασης, προηγούμενες επισκέψεις στα ξενοδοχεία ή μελλοντικές κρατήσεις.

Ωστόσο, ο ξενοδοχειακός όμιλος δεν δήλωσε πότε συνέβη η παραβίαση ούτε πώς οι χάκερ κατάφεραν να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση στα δεδομένα.

Ορισμένες αναφορές υποδεικνύουν ότι η παραβίαση πραγματοποιήθηκε στις 11 Σεπτεμβρίου, γεγονός που υποδηλώνει ότι η δυνατότητα ανίχνευσης εισβολών από τον όμιλο είναι περιορισμένη.

Το γεγονός ότι η Radisson είναι ασαφής σχετικά με τον αριθμό των ανθρώπων που έχουν πληγεί έχει οδηγήσει σε εικασίες ότι ο αριθμός είναι ιδιαίτερα υψηλός.

Η εταιρεία δήλωσε ότι η έρευνά είναι σε εξέλιξη, αλλά οι πληροφορίες που εκτέθηκαν περιελάμβαναν ονόματα, διευθύνσεις, χώρα διαμονής, διευθύνσεις ηλεκτρονικού ταχυδρομείου και, σε ορισμένες περιπτώσεις, όνομα εταιρείας, αριθμό τηλεφώνου, αριθμό μέλους του Radisson Rewards και αριθμούς Frequent Flyer.

Μετά την αναγνώριση της διαρροής, ο όμιλος ανέφερε ότι όλες οι μη εξουσιοδοτημένες προσβάσεις είχαν μπλοκαριστεί και ότι όλοι οι λογαριασμοί που επηρεάστηκαν ήταν ασφαλισμένοι και υπό επιτήρηση.

“Ενώ ο κίνδυνος για τον λογαριασμό σας στο Radisson Rewards είναι χαμηλός, παρακαλώ παρακολουθήστε το λογαριασμό σας για οποιαδήποτε ύποπτη δραστηριότητα”, ανέφερε ο όμιλος σε μέλη του προγράμματος loyalty.

Η ομάδα προειδοποίησε επίσης τα μέλη ότι τρίτοι μπορούν να ισχυριστούν ότι είναι εκπρόσωποι της Radisson με σκοπό να συλλέξουν προσωπικές πληροφορίες με τη χρήση συνδέσμων σε ψεύτικες ιστοσελίδες.

“Τα βραβεία Radisson αντανακλούν πολύ σοβαρά το περιστατικό αυτό και διεξάγουν μια συνεχιζόμενη διεξοδική έρευνα για το περιστατικό για να βοηθήσουν στην αποφυγή τυχόν συμβάντων προστασίας προσωπικών δεδομένων στο μέλλον”, ανέφερε η ομάδα.

Ο Ross Rustici, ανώτερος διευθυντής υπηρεσιών πληροφοριών στην εταιρεία ασφαλείας Cybereason, δήλωσε ότι η παραβίαση θα είναι μια ενδιαφέρουσα δοκιμαστική υπόθεση στο πλαίσιο της GDPR, η οποία τέθηκε σε ισχύ από τις 25 Μαΐου 2018.

“Όπως και η παραβίαση της British Airways νωρίτερα αυτό το έτος, κάθε μεγάλη εταιρεία που υποφέρει από ένα περιστατικό πρόκειται να αποτελέσει δοκιμαστικό κρεβάτι για το πόσο αυστηρά εφαρμόζεται η GDPR και τι μπορεί να περιμένει ο ιδιωτικός τομέας από τους κανονισμούς”, δήλωσε.

Για παραβίαση συγκεκριμένων άρθρων του GDPR ή αν διαπιστωθεί παραβίαση των υποχρεώσεων του οργανισμού, ο Όμιλος Radisson θα μπορούσε να φθάσει τα € 10 εκ. Ή 2% ετήσιο παγκόσμιο κύκλο εργασιών, όποιο είναι υψηλότερο. Αν όμως διαπιστωθεί ότι παραβιάστηκε το δικαίωμα της ιδιωτικής ζωής οποιουδήποτε ατόμου, ο όμιλος θα μπορούσε να επιβληθεί πρόστιμο ύψους μέχρι 20 εκατομμυρίων ευρώ ή ετήσιος ετήσιος κύκλος εργασιών 4%, όποιο είναι υψηλότερο.

Ο Rustici δήλωσε ότι η παραβίαση μπορεί επίσης να είναι σημαντική επειδή ο συνδυασμός των διευθύνσεων, των αριθμών συχνών προσφορών και των αριθμών ανταμοιβών του Radisson μπορεί να είναι χρήσιμος για συγκεκριμένες υποθέσεις εγκληματικής χρήσης με χαμηλή επίπτωση.

“Σε αντίθεση με μια παραβίαση πιστωτικών καρτών μεγάλης κλίμακας, ο πιο πιθανός τρόπος για να κερδοσκοπηθούν αυτές οι πληροφορίες είναι να ενισχυθεί ένα πρότυπο παρόμοιας ανάλυσης για συγκεκριμένα άτομα, είτε υψηλής αξίας είτε άτομα με συγκεκριμένη πρόσβαση σε κάτι. Αυτός ο τύπος πληροφοριών είναι πολύ πιο χρήσιμος για ένα πακέτο στόχευσης πληροφοριών από ό, τι για τη δημιουργία εσόδων μεγάλης κλίμακας “, ανέφερε.

Ο Tony Richards, ο όμιλος CISO και επικεφαλής της συμβουλευτικής ομάδας για τον όμιλο Falanx, δήλωσε ότι επειδή η παραβίαση φαίνεται να οφείλεται σε έναν εισβολέα που έχει διαπιστευτήρια εξουσιοδοτημένου υπαλλήλου, θα είναι ενδιαφέρον να δούμε αν αυτά κλέφθηκαν σε μια επίθεση phishing ή παρόμοια.

“Ενώ οι έλεγχοι ασφαλείας μπορούν να τεθούν σε εφαρμογή για να μειωθεί η πιθανότητα επιτυχίας μιας επίθεσης phishing, δεν μπορούν να σταματήσουν το 100% του χρόνου. Αυτός είναι ο λόγος για τον οποίο είναι σημαντικό να χρησιμοποιούμε ελέγχους ασφαλείας όπως το MFA [ έλεγχος ταυτότητας πολλαπλών παραγόντων ] “, ανέφερε.

Καθώς οι χρηματοπιστωτικές υπηρεσίες και άλλες βιομηχανίες με υψηλό ρυθμό ρύθμισης κλειδώνουν τις εφαρμογές και τους ιστοτόπους τους, οι επιτιθέμενοι όλο και περισσότερο κινούνται σε μαλακότερους στόχους οι οποίοι εξακολουθούν να είναι “πλούσιοι σε δεδομένα” όσον αφορά το είδος των προσωπικών πληροφοριών που μπορούν να κλαπούν και στη συνέχεια να αποτιμώνται, παρατηρεί ο Rusty Carter, αντιπρόεδρος της διαχείρισης προϊόντων της Arxan Technologies.

“Η παραβίαση του Radisson υπογραμμίζει περαιτέρω τη βιομηχανία φιλοξενίας ως στόχο και τις αδυναμίες των εταιρειών να προσδιορίσουν τις επιθέσεις που βρίσκονται σε εξέλιξη”, ανέφερε.

“Ακόμη και με νομοθεσία όπως η GDPR, οι εταιρείες δεν εξασφαλίζουν ή αποκαλύπτουν γρήγορα την απώλεια πληροφοριών για τους πελάτες. Η εμπιστοσύνη των καταναλωτών τονίζεται στο όριο και ίσως πλησιάζουμε σε ένα σημείο καμπής όπου ένας δραματικός καταναλωτής καθώς και η αντίδραση της κυβέρνησης θα έχουν έντονες και μακροχρόνιες επιπτώσεις στην επιχειρηματική απόδοση ».