Niet voor de eerste keer blijkt InterContinental Hotels Group (IHG) met succes gehackt te zijn. Het beursgenoteerde bedrijf heeft namelijk een ad-hoc melding gedaan over problemen met de techniek waardoor boekingen niet mogelijk zijn. Hoe kan het dat IHG weer de pineut is en waarom zijn hotelketens zo’n gewild doelwit.
Processen
IHG heeft al eens eerder het proces van gehackt worden, een melding doen en een boete opgelegd kregen doorlopen. Waar het ook ervaring mee heeft is het processen in Amerika met als inzet compensatie van de schade. In 2020 betaalde het hiervoor nog $1,5 miljoen om een class-lawsuit af te wikkelen.
Franchises
Ondanks die ervaring lijkt de IT nog steeds kwetsbaar, anders was er ook niet de nieuwe melding. De vraag is dan ook waarom dat zo is. Het antwoord is simpel. IHG kan de IT nog zo goed dichttimmeren, het heeft die mogelijkheden niet bij de 8.000+ hotels die deel uit maken van de keten. IHG is namelijk niet meer dan de IT en marketingmachine. De hotels, waarvan iedereen denkt dat ze deel zijn van de keten, zijn vaak niet meer dan franchises. Elke oplettende lezer begrijpt dan ook waarom de technische infra van een keten per hotel zo kan verschillen. IHG kan proberen daar een standaard op te leggen, maar afdwingen is een ander verhaal.
Dat zelfde gaat op voor de technische kennis of het up-to-date houden van de infra. Cybercriminelen weten dat uiteraard ook. Uit eerdere hacks hebben ze ook geleerd dat het (bijna) altijd mogelijk is via een brak beveiligd hotel door te dringen tot delen van het “echte†IHG netwerk. Daar bevinden zich de waardevolle data, als NAW en te vaak ook “flarden van†creditcard gegevens. Hoewel dat laatste niet is toegestaan volgens de PCI-DSS eisen, blijken er toch digitale notities van CC gegevens of zelfs scans gemaakt te worden.
Hotels zijn een makkelijk doelwit. Zoveel is wel duidelijk. Maar waarom zijn ze ook een aantrekkelijk doelwit. Om die vraag te beantwoorden moet verder gekeken worden dan de waarde van NAW gegevens, reispatronen en CC data. Hotels zijn, naast lichtvaartmaatschappijen, bij uitstek de plek waar waardepunten worden verzameld. Deze hebben een reële waarde en zijn opmerkelijk makkelijk te verzilveren en over te dragen.
Rusland
Al jaren is bekend dat er vanuit Rusland op grote schaal boekingen voor luxe hotels worden gedaan op basis van gestolen gegevens en waardepunten. Doordat het luchtruim sinds de start van de oorlog tegen Oekraïne deels gesloten is, kunnen Russen minder makkelijk op deze wijze goedkoop op vakantie naar de landen rond de Middellandse Zee. Dat wil niet zeggen dat de waardepunten die in de computersystemen van IHG en andere hotelketens aanwezig zijn daarom minder interessant zijn. Die punten kunnen namelijk ook tegen andere zaken worden ingewisseld dan overnachtingen. Ze zijn een ongereguleerd en ook slecht gecontroleerd betaalmiddel.
Nederlandse cadeaubonnen
Klinkt dat bekend? Als het goed is wel. Tot ongeveer tien jaar geleden waren fysieke cadeaubonnen in Nederland een gewilde buit bij dieven. Ze waren zelfs de reden zeer gerichte inbraken te plegen. Ze werden op serieuze schaal verhandeld als alternatief betaalmiddel. Dat de plastic kaartjes die tegenwoordig bij de Hema, Blokker en andere winkels hangen geen voorgedrukte waarde meer hebben heeft daar alles mee te maken. Zoals ze er nu bijhangen hebben ze geen enkele waarde. Diefstal en inbraak is daarmee zinloos geworden.
Vandaar een bruggetje slaan naar de hotelketens is makkelijk, maar de oplossing is dat niet. Het systeem van waardepunten vergaren, opslaan en bijhouden valt buiten de scope van PCI-DSS en vergelijkbare eisen. Als dat verandert vervalt in ieder geval een reden hotelketens via de zwakste schakels in de keten, de losse hotels, aan te vallen.
De kans dat de airmiles en vergelijkbare punten beter beveiligd gaan worden en niet langer verhandelbaar zijn is echter gering. Commercie en marketing liggen daar dwars. Daarnaast zouden bedrijven ook accuut in de problemen komen als iedereen voor de verandering nog snel zijn punten gaat inwisselen. Ook daarom zullen we blijven lezen dat hotels gehackt zijn.
