Siete stati in un hotel Best western ? Forse e’ meglio se bloccate subio la carta di credito

Link: The Sunday Herald – Scotland’s award-winning independent newspaper.

AN INTERNATIONAL criminal gang has pulled off one of the most audacious cyber-crimes ever and stolen the identities of an estimated eight million people in a hacking raid that could ultimately net more than £2.8billion in illegal funds.

A Sunday Herald investigation has discovered that late on Thursday night, a previously unknown Indian hacker successfully breached the IT defences of the Best Western Hotel group’s online booking system and sold details of how to access it through an underground network operated by the Russian mafia.

Secondo il Sunday herald, giovedi’ sono stati rubati i dati di TUTTI i  clienti della Best Western: 8 milioni di utenti.

Un hacker indiano avrebbe trovato la vulnerabilita’ e avrebbe  venduto l’informazione su un sito web riferibile alla mafia russa; il giornale (sunday herald) che lo ha scoperto ne ha informato Best Western e la vulnerabilita’ e’ stata chiusa entro 24 ore, ma i dati erano gia usciti.

I dati conterrebbero nomi, cognomi, indirizzi numeri di carte di credito con date di scadenza, date di prenotazione (passate e future) dei clienti degli ultimi due anni.

 

Best Western avrebbe preso contatto con i gestori delle carte di credito per gestire immediatamente l’emergenza (e che emergenza! ndr.)

Nessuna informazione ancora nell’area stampa del sito di Best Western.

If you like this post, please consider sharing it.

11 thoughts on “Siete stati in un hotel Best western ? Forse e’ meglio se bloccate subio la carta di credito”

  1. Un indiano?
    Dannazione, hanno dato in outsurcing anche gli hackeraggi, non c’e’ piu’ religione!!!
    Ma perche’ quelli si tengono lo storico dei numeri di carte di credito? Che senso ha, una volta che la transazione e’ andata a buon fine? Al di la’ della privacy, sono dati che sarebbe meglio non storicizzare per le ragioni di questa notizia.

  2. vincenzo vicedomini

    non entro nel merito, ma non credo sia l’unico sistema di billing ad avere simili vulnerabilità.
    L’anno scorso noleggiando un’auto da un noto sito di noleggi abbiamo avuto la sorpresa di trovare, all’atto del pagamento, i dati di una carta di credito di altro utente semplicemente facendo un refresh e un back della pagina …
    La sicurezza, questa sconosciuta. Ad eccezione delle banche e delle compagnie detentrici di segreti industriali, chi investe in sicurezza (quella vera) quando mette su un sistema telematico ?

  3. Vale per tutto il mondo o solo UK? Io ho prenotazioni fatte sul loro sito in nazioni non uk, ma solo una di queste è stata fatta con una carta di credito ancora valida (ed è fatta al limite dei 2 anni, ho controllato ora la mail di conferma).
    Ma la cartasì in questo caso è obbligata a fornirmi una nuova carta gratuitamente? O come al solito visa & co. non hanno responsabilità?
    cla

  4. Ha ragione Vincenzo, non sono gli unici. Molti servizi Web registrano di dafult i dettagli degli utenti “per semplicita’ negli acquisti successivi”. Faceva cosi’ Wengo, uno dei concorrenti di Skype.
    In altri casi, non solo la memorizzazione dei dati e’ impostata di dafault, ma e’ pure obbligatoria. Me ne sono accorto una volta che ho avevo bisogno di ricaricare online la mia scheda T-mobile (UK): per cancellare il numero della mia carta di credito dal sito ho dovuto chiamare l’help desk e chiedere la rimozione dell’intero account!
    A suo tempo ero rimasto abbastanza scioccato da una simile procedura. La cosa divertente e’ che tutto cio’ e’ successo dall’interno di una camera d’albergo Best Western (pagata dall’azienda, per fortuna)… premonizione? 🙂

  5. Mi è arrivata questa segnalazione non so se può essere collegata
    > >
    > > Oggetto: NUOVA TRUFFA CON CARTE DI CREDITO
    > >
    > > Una delle più
    importanti banche del Canada (più precisamente la Royal
    Bank of
    Canada) sta allertando tutti i propri clienti circa una nuova
    truffa
    ai danni di possessori di carte di credito (VISA, Mastercard, etc.)
    che si sta allargando a tutto il continente americano ed è molto
    prevedibile che prestissimo raggiungerà l’Europa…
    > > OCCHIO, RAGAZZI
    !!!
    > >
    > >
    > > La truffa si sta diffondendo dal Canada con velocità
    impressionante.
    > > In particolare si tratta di un modo piuttosto furbo
    per truffare i
    possessori di carte di credito, poiché questi bastardi
    hanno già i numeri
    di serie della carte e quindi NON VI CHIEDONO IL
    NUMERO DI SERIE DELLA
    VOSTRA.
    > >
    > > Questa mail potrà essere molto
    utile in quanto una volta capito come
    funziona la truffa sarete
    preparati e protetti dal pericolo.
    > >
    > > Funziona cosí.
    > >
    > > La persona
    vi chiamerà al telefono dicendo:
    > > “Buongiorno, mi chiamo (Nome e
    Cognome) e La sto chiamando dall’ufficio
    antifrodi della VISA (oppure
    Mastercard, American Express, ecc.).
    > > La mia matricola di funzionario
    VISA è la 12460.
    > > Le telefono perché la Sua carta è stata segnalata
    dal nostro sistema di
    sicurezza per aver fatto un acquisto insolito e
    io sono qui per verificare
    insieme a Lei se si tratta di qualcosa di
    illegale oppure no.
    > > Guardi, si tratta della Sua carta di credito VISA
    emessa dalla
    Banca………
    > > ( vi dirà il nome della Vostra Banca)
    > >
    Lei ha per caso acquistato recentemente dei biglietti aerei (o
    qualsiasi
    altra cosa) per 497.99 dollari (oppure Euro) da una società
    via Internet
    che ha sede in ……. ?”
    > >
    > > Mentre voi risponderete di
    no, il falso funzionario continuerà dicendo:
    > >
    > > “Guardi, Le spiego
    brevemente, si tratta di una società che stiamo
    tenendo d’occhio
    poiché effettua degli addebiti tra 297 e 497 dollari
    (Euro) per volta
    e restando sotto i 500 dollari non è facilmente
    controllabile, dato il
    gran numero di transazioni che effettua ogni giorno
    in tutto il mondo.
    > > Ad ogni modo, se Lei mi conferma di non aver effettuato con la sua
    carta
    nessun acquisto Internet per biglietti aerei di questo importo,
    con il suo
    aiuto abbiamo potuto appurare che si tratta di un tentativo
    di frode e
    così questa somma Lei la vedrà addebitata sull’estratto
    conto del mese ma
    le verrà contemporaneamente eseguito lo storno per
    lo stesso importo non
    dovuto, così alla fine il saldo sarà pari.
    > >
    L’estratto conto verrà inviato come al solito al Suo indirizzo che ci
    risulta essere Via………, è corretto ?”
    > >
    > > E voi direte ovviamente
    di sì…
    > >
    > > Allora lui/lei continuerà dicendo:
    > >
    > > “Ok, a questo
    punto apro una pratica interna antifrode. Se Lei avesse
    qualsiasi
    domanda o chiarimento da chiederci, chiami il nostro numero
    verde 800
    …….. e chieda dell’ufficio antifrodi Internet: quando un mio
    collega le risponderà, abbia cura di dargli il codice di questa
    pratica
    che è il ………….. (vi darà un numero a sei cifre) così
    che potrà
    rispondere a tutte le sue domande. Ha annotato il codice
    della pratica?
    Vuole che glielo ripeta?”
    > >
    > > A questo punto inizia la
    parte IMPORTANTE della truffa.
    > >
    > > il falso funzionario vi dirà:
    > >
    “un’ultima cosa ancora. Avrei bisogno di verificare se lei è davvero
    in
    possesso della sua carta: ce l’ha in mano in questo momento ?
    > > Ok,
    allora dia uno sguardo ai numeri che trova sul retro: se guarda bene
    vedrà due numeri, uno di quattro cifre che è una parte del numero di
    serie
    della carta e l’altro di tre cifre (Codice di Sicurezza) che
    dimostra che
    Lei è in possesso della carta.
    > > Queste ultime tre cifre
    sono quelle che vengono normalmente utilizzate
    per gli acquisti via
    Internet, poiché sono la prova che Lei possiede
    fisicamente la carta.
    > > Me li può leggere per favore ?”
    > > Una volta che glieli avrete letti,
    lui dirà:
    > > “Ok, codice corretto. Avevo solo bisogno della prova che la
    carta non
    fosse stata persa o rubata e che ne eravate ancora
    fisicamente in
    possesso.
    > > Ha qualche altra domanda da farmi ?”
    > > Dopo
    che voi avete risposto di no, lui risponderà:
    > > “Molto bene, La
    ringrazio della collaborazione.
    > > In ogni caso non esiti a contattarci
    per qualsiasi necessità:
    buongiorno.”
    > > E metterà giù il telefono.
    > >
    > >
    > > Da parte vostra vi sentirete sollevati… hanno tentato di
    truffarvi, ma
    il solerte servizio antifrodi della VISA vi ha salvati
    in tempo.
    > > In fondo non gli avete detto quasi niente di importante e
    lui non vi ha
    mai chiesto il numero della carta…
    > >
    > > INVECE HA GIA’
    INCASSATO I VOSTRI SOLDI !
    > >
    > > Già, perché gli avete letto i tre
    numeri del codice di sicurezza e
    CERTAMENTE li ha già usati per
    addebitare la vostra carta.
    > >
    > > Infatti quello che i truffatori
    vogliono è proprio il codice di
    sicurezza a tre cifre sul retro della
    carta: gli altri dati se li erano
    già procurati, compreso il titolare,
    la data di emissione, di scadenza, il
    numero di serie della carta e
    persino il vostro indirizzo….
    > > Mancava solo il codice di sicurezza !
    > >
    > > Se vi dovessero chiamare con le modalità appena descritte, non
    date
    nessun riferimento e ditegli che chiamerete direttamente la VISA
    (oppure
    Mastercard, ecc.) per la verifica della conversazione:
    > > le
    società che emettono le carte di credito NON VI CHIEDERANNO MAI DEI
    CODICI:
    > > LORO LI CONOSCONO PRIMA DI VOI !!!
    > >
    > > Per favore,
    diffondete queste informazioni ai vostri familiari ed amici.
    > >
    > >

  6. @Cla: Questa primavera CartaSI mi ha cambiato di sua iniziativa (e gratuitamente) una carta perche’ era transitata da un POS compromesso, anche se non avevo avuto alcun (tentativo di) addebito strano. Io avviserei la banca o CartaSI, anche per poter dire “ve l’avevo detto” in caso di controversie.

  7. Uhm… ho chiamato il servizio clienti Best Western (italiano) e mi hanno detto che non ne sanno nulla e che mi faranno sapere.
    La faccenda mi insospettisce un pochino, devo dire. Parlano del più grande furto di identità della storia e poi nessun organo di informazione, ad eccezione di un giornale scozzese, riporta la notizia? Mi sembra un po’ strano.

  8. Dry shit, io ci sono stato in un Best Western entro gli ultimi due anni…
    Non ho pagato con carta di credito, d’accordo, ma non mi fa certo un gran piacere venire a sapere che i lamer russi hanno i dati della mia patente a disposizione :/
    Se questa è la situazione nel 2008, m’immagino i disastri che capiteranno in futuro. Terrificante….

Leave a Comment

Your email address will not be published. Required fields are marked *