Grazie ad Alessandra di Best Western che ha mandato il link al CS di smentita. Link: Best Western Responds to Sunday Herald Story Claiming Security Breach – MarketWatch.
Leggendolo bene, pero’, non mi pare tanto una smentita anche se mi pare che l’articolo del Sunday Herald sia venato da sensazionalismo (come sempre accade quando si parla di hacker).
Leggendo l’articolo, cio’ che viene attribuito a Best Western nell’articolo e poi leggendo il comunicato mi sono fatto l’idea che il giornalista, tramite qualcuno che legge un bulletin board in Russia, sia venuto a conoscenza di una vendita di un account username/password di Best Western che avrebbe consentito di ottenere i dati di tutti i clienti degli ultimi due anni.
Il giornalista ne avrebbe informato Best Western che avrebbe disabilitato l’account.
Poi Best Western dice che hanno i firewall, che cancellano le prenotazioni online dopo la partenza dell’ospite (e i dati non della prenotazione ma del soggiorno ? secondo me, probabilmente no, perche’ ci possono essere reclami o addebiti successivi…) Che prendono i dati delle carte di credito solo quando serve (per ognuno che esce da un albergo paga con carta, mi parrebbe), che le informazioni sono accessibili solo agli addetti protette da username/password, che usano VPN e che le info sono cifrate nei DB.
Le credenziali in questione sarebbero quelle di un sistema di prenotazione collegato a Best Western ("We continue to investigate the root cause of the issue, including, but
not limited to, the third-party website that has allegedly facilitated
this illegal exchange of information") e non di un sistemista (con accesso a una shell e che magari potrebbe essere sotto strong authentication), la domanda a questo punto probabilmente e’: a quali informazioni ha accesso quell’account ? Puo’ in qualche modo, con i suoi privilegi, eseguire una query per estrarre dal DB liste di informazioni o solo inserirne ?
Il Comunicato di BW dice
- "non ci sono evidenze per supportare dichiarazioni sensazionalistiche" e non
- "ci sono evidenze che smentiscono dichiarazioni sensazionalistiche"
Da cio’ mi parrebbe di capire che non sono in grado di sapere se da quell’account che efettivamente ammetterebbero di avere chiuso ("Best Western took immediate action to disable the compromised log-in account in question") siano stati trafugati dei dati ne’ quali ne quanti. A naso, forse stanno ancora isolando i log o forse non li avevano.
In definitiva, mi pare che il quadro che emerge sia che qualcuno dice che si poteva accedere e trafugare dati, Best Western ha chiuso l’account ma non ha potuto escludere che ci siano stati accessi non autorizzati e che dei dati siano stati trafugati; ha detto che non hanno "evidenza di cio".
Spero di leggere preso un altro CS che dica "abbiamo verificato e possiamo affermare che non sono stati trafugati dati di alcun nostro cliente".
Bastera’ aspettare per vedere se e come si sviluppa la cosa.
Eccomi di nuovo… questa la smentita ufficiale dopo i dovuti accertamenti http://www.bestwestern.it/BW/comunicato-stampa-smentita-ufficiale
I tempi tecnici di studio della situazione sono serviti per poter dare una risposta vera! Giorni di lavoro per cpntrollare gli id!
Per qualsiasi altra informazione ti prego contattami!