Link: The Sunday Herald - Scotland's award-winning independent newspaper.
AN INTERNATIONAL criminal gang has pulled off one of the most audacious cyber-crimes ever and stolen the identities of an estimated eight million people in a hacking raid that could ultimately net more than £2.8billion in illegal funds.
A Sunday Herald investigation has discovered that late on Thursday night, a previously unknown Indian hacker successfully breached the IT defences of the Best Western Hotel group's online booking system and sold details of how to access it through an underground network operated by the Russian mafia.
Secondo il Sunday herald, giovedi' sono stati rubati i dati di TUTTI i clienti della Best Western: 8 milioni di utenti.
Un hacker indiano avrebbe trovato la vulnerabilita' e avrebbe venduto l'informazione su un sito web riferibile alla mafia russa; il giornale (sunday herald) che lo ha scoperto ne ha informato Best Western e la vulnerabilita' e' stata chiusa entro 24 ore, ma i dati erano gia usciti.
I dati conterrebbero nomi, cognomi, indirizzi numeri di carte di credito con date di scadenza, date di prenotazione (passate e future) dei clienti degli ultimi due anni.
Best Western avrebbe preso contatto con i gestori delle carte di credito per gestire immediatamente l'emergenza (e che emergenza! ndr.)
Nessuna informazione ancora nell'area stampa del sito di Best Western.
Un indiano?
Dannazione, hanno dato in outsurcing anche gli hackeraggi, non c'e' piu' religione!!!
Ma perche' quelli si tengono lo storico dei numeri di carte di credito? Che senso ha, una volta che la transazione e' andata a buon fine? Al di la' della privacy, sono dati che sarebbe meglio non storicizzare per le ragioni di questa notizia.
Scritto da: Luigi Rosa | 24 agosto 2008 a 15:44
non entro nel merito, ma non credo sia l'unico sistema di billing ad avere simili vulnerabilità.
L'anno scorso noleggiando un'auto da un noto sito di noleggi abbiamo avuto la sorpresa di trovare, all'atto del pagamento, i dati di una carta di credito di altro utente semplicemente facendo un refresh e un back della pagina ...
La sicurezza, questa sconosciuta. Ad eccezione delle banche e delle compagnie detentrici di segreti industriali, chi investe in sicurezza (quella vera) quando mette su un sistema telematico ?
Scritto da: vincenzo vicedomini | 24 agosto 2008 a 15:47
Vale per tutto il mondo o solo UK? Io ho prenotazioni fatte sul loro sito in nazioni non uk, ma solo una di queste è stata fatta con una carta di credito ancora valida (ed è fatta al limite dei 2 anni, ho controllato ora la mail di conferma).
Ma la cartasì in questo caso è obbligata a fornirmi una nuova carta gratuitamente? O come al solito visa & co. non hanno responsabilità?
cla
Scritto da: Cla | 24 agosto 2008 a 16:34
Ha ragione Vincenzo, non sono gli unici. Molti servizi Web registrano di dafult i dettagli degli utenti "per semplicita' negli acquisti successivi". Faceva cosi' Wengo, uno dei concorrenti di Skype.
In altri casi, non solo la memorizzazione dei dati e' impostata di dafault, ma e' pure obbligatoria. Me ne sono accorto una volta che ho avevo bisogno di ricaricare online la mia scheda T-mobile (UK): per cancellare il numero della mia carta di credito dal sito ho dovuto chiamare l'help desk e chiedere la rimozione dell'intero account!
A suo tempo ero rimasto abbastanza scioccato da una simile procedura. La cosa divertente e' che tutto cio' e' successo dall'interno di una camera d'albergo Best Western (pagata dall'azienda, per fortuna)... premonizione? :-)
Scritto da: alezzandro | 24 agosto 2008 a 18:01
Mi è arrivata questa segnalazione non so se può essere collegata
> >
> > Oggetto: NUOVA TRUFFA CON CARTE DI CREDITO
> >
> > Una delle più
importanti banche del Canada (più precisamente la Royal
Bank of
Canada) sta allertando tutti i propri clienti circa una nuova
truffa
ai danni di possessori di carte di credito (VISA, Mastercard, etc.)
che si sta allargando a tutto il continente americano ed è molto
prevedibile che prestissimo raggiungerà l'Europa...
> > OCCHIO, RAGAZZI
!!!
> >
> >
> > La truffa si sta diffondendo dal Canada con velocità
impressionante.
> > In particolare si tratta di un modo piuttosto furbo
per truffare i
possessori di carte di credito, poiché questi bastardi
hanno già i numeri
di serie della carte e quindi NON VI CHIEDONO IL
NUMERO DI SERIE DELLA
VOSTRA.
> >
> > Questa mail potrà essere molto
utile in quanto una volta capito come
funziona la truffa sarete
preparati e protetti dal pericolo.
> >
> > Funziona cosí.
> >
> > La persona
vi chiamerà al telefono dicendo:
> > "Buongiorno, mi chiamo (Nome e
Cognome) e La sto chiamando dall'ufficio
antifrodi della VISA (oppure
Mastercard, American Express, ecc.).
> > La mia matricola di funzionario
VISA è la 12460.
> > Le telefono perché la Sua carta è stata segnalata
dal nostro sistema di
sicurezza per aver fatto un acquisto insolito e
io sono qui per verificare
insieme a Lei se si tratta di qualcosa di
illegale oppure no.
> > Guardi, si tratta della Sua carta di credito VISA
emessa dalla
Banca.........
> > ( vi dirà il nome della Vostra Banca)
> >
Lei ha per caso acquistato recentemente dei biglietti aerei (o
qualsiasi
altra cosa) per 497.99 dollari (oppure Euro) da una società
via Internet
che ha sede in ....... ?"
> >
> > Mentre voi risponderete di
no, il falso funzionario continuerà dicendo:
> >
> > "Guardi, Le spiego
brevemente, si tratta di una società che stiamo
tenendo d'occhio
poiché effettua degli addebiti tra 297 e 497 dollari
(Euro) per volta
e restando sotto i 500 dollari non è facilmente
controllabile, dato il
gran numero di transazioni che effettua ogni giorno
in tutto il mondo.
> > Ad ogni modo, se Lei mi conferma di non aver effettuato con la sua
carta
nessun acquisto Internet per biglietti aerei di questo importo,
con il suo
aiuto abbiamo potuto appurare che si tratta di un tentativo
di frode e
così questa somma Lei la vedrà addebitata sull'estratto
conto del mese ma
le verrà contemporaneamente eseguito lo storno per
lo stesso importo non
dovuto, così alla fine il saldo sarà pari.
> >
L'estratto conto verrà inviato come al solito al Suo indirizzo che ci
risulta essere Via........., è corretto ?"
> >
> > E voi direte ovviamente
di sì...
> >
> > Allora lui/lei continuerà dicendo:
> >
> > "Ok, a questo
punto apro una pratica interna antifrode. Se Lei avesse
qualsiasi
domanda o chiarimento da chiederci, chiami il nostro numero
verde 800
........ e chieda dell'ufficio antifrodi Internet: quando un mio
collega le risponderà, abbia cura di dargli il codice di questa
pratica
che è il .............. (vi darà un numero a sei cifre) così
che potrà
rispondere a tutte le sue domande. Ha annotato il codice
della pratica?
Vuole che glielo ripeta?"
> >
> > A questo punto inizia la
parte IMPORTANTE della truffa.
> >
> > il falso funzionario vi dirà:
> >
"un'ultima cosa ancora. Avrei bisogno di verificare se lei è davvero
in
possesso della sua carta: ce l'ha in mano in questo momento ?
> > Ok,
allora dia uno sguardo ai numeri che trova sul retro: se guarda bene
vedrà due numeri, uno di quattro cifre che è una parte del numero di
serie
della carta e l'altro di tre cifre (Codice di Sicurezza) che
dimostra che
Lei è in possesso della carta.
> > Queste ultime tre cifre
sono quelle che vengono normalmente utilizzate
per gli acquisti via
Internet, poiché sono la prova che Lei possiede
fisicamente la carta.
> > Me li può leggere per favore ?"
> > Una volta che glieli avrete letti,
lui dirà:
> > "Ok, codice corretto. Avevo solo bisogno della prova che la
carta non
fosse stata persa o rubata e che ne eravate ancora
fisicamente in
possesso.
> > Ha qualche altra domanda da farmi ?"
> > Dopo
che voi avete risposto di no, lui risponderà:
> > "Molto bene, La
ringrazio della collaborazione.
> > In ogni caso non esiti a contattarci
per qualsiasi necessità:
buongiorno."
> > E metterà giù il telefono.
> >
> >
> > Da parte vostra vi sentirete sollevati... hanno tentato di
truffarvi, ma
il solerte servizio antifrodi della VISA vi ha salvati
in tempo.
> > In fondo non gli avete detto quasi niente di importante e
lui non vi ha
mai chiesto il numero della carta...
> >
> > INVECE HA GIA'
INCASSATO I VOSTRI SOLDI !
> >
> > Già, perché gli avete letto i tre
numeri del codice di sicurezza e
CERTAMENTE li ha già usati per
addebitare la vostra carta.
> >
> > Infatti quello che i truffatori
vogliono è proprio il codice di
sicurezza a tre cifre sul retro della
carta: gli altri dati se li erano
già procurati, compreso il titolare,
la data di emissione, di scadenza, il
numero di serie della carta e
persino il vostro indirizzo....
> > Mancava solo il codice di sicurezza !
> >
> > Se vi dovessero chiamare con le modalità appena descritte, non
date
nessun riferimento e ditegli che chiamerete direttamente la VISA
(oppure
Mastercard, ecc.) per la verifica della conversazione:
> > le
società che emettono le carte di credito NON VI CHIEDERANNO MAI DEI
CODICI:
> > LORO LI CONOSCONO PRIMA DI VOI !!!
> >
> > Per favore,
diffondete queste informazioni ai vostri familiari ed amici.
> >
> >
Scritto da: Andrea | 24 agosto 2008 a 22:03
@Andrea, mi pare un hoax
@Cla, in tutto il mondo. Chiederei alla tua banca notizie e credo proprio che te la possano cambiare.
Scritto da: Stefano Quintarelli | 25 agosto 2008 a 04:40
@Cla: Questa primavera CartaSI mi ha cambiato di sua iniziativa (e gratuitamente) una carta perche' era transitata da un POS compromesso, anche se non avevo avuto alcun (tentativo di) addebito strano. Io avviserei la banca o CartaSI, anche per poter dire "ve l'avevo detto" in caso di controversie.
Scritto da: Luigi Rosa | 25 agosto 2008 a 06:37
Uhm... ho chiamato il servizio clienti Best Western (italiano) e mi hanno detto che non ne sanno nulla e che mi faranno sapere.
La faccenda mi insospettisce un pochino, devo dire. Parlano del più grande furto di identità della storia e poi nessun organo di informazione, ad eccezione di un giornale scozzese, riporta la notizia? Mi sembra un po' strano.
Scritto da: Federico Fasce | 25 agosto 2008 a 11:32
Dry shit, io ci sono stato in un Best Western entro gli ultimi due anni...
Non ho pagato con carta di credito, d'accordo, ma non mi fa certo un gran piacere venire a sapere che i lamer russi hanno i dati della mia patente a disposizione :/
Se questa è la situazione nel 2008, m'immagino i disastri che capiteranno in futuro. Terrificante....
Scritto da: Alfonso Maruccia | 25 agosto 2008 a 11:56
Buongiorno,
riporto qui di seguito il link al comunicato stampa di Best Western International nel quale si smentisce la notizia, in quanto infondata.
http://www.businesswire.com/portal/site/google/?ndmViewId=news_view&newsId=20080825005445&newsLang=it
Alessandra Niada
Communication Manager
Best Western Italia
Scritto da: Alessandra Niada | 25 agosto 2008 a 15:08
La risposta/posizione di Best Western Int'l:
http://www.marketwatch.com/news/story/best-western-responds-sunday-herald/story.aspx?guid=%7BA87F9682-AC67-4803-A135-B6ACF42C0956%7D&dist=hppr
Scritto da: Roberto | 25 agosto 2008 a 16:06