Phoenix 26 agosto 2008 - Questo comunicato ha lo scopo di fornire ulteriori dettagli sulla notizia gravemente errata, pubblicata dal quotidiano scozzese The Sunday Herald, in merito alla violazione del sistema centrale di prenotazione Best Western e ai fantomatici dati rubati. Best Western International ha confermato che il 21 agosto 2008 un hacker ha attaccato l’Hotel Schloss Kopenick di Berlino, Germania. L’utente in questione ha avuto accesso solamente ai dati di prenotazione dell’ hotel. Le credenziali dell’utente sono state immediatamente rimosse ed il pc in questione è stato disattivato.
Il pirata è entrato grazie ad un virus trojan che è stato subito intercettato e fermato, compromettendo solo i dati di 10 clienti (8 tedeschi, 1 italiano e 1 australiano), che comunque non hanno subito alcun furto dati. Best Western International ha provveduto a contattare i clienti personalmente per informarli.

L’ingresso è avvenuto attraverso il terminale di un hotel che non può in nessun caso, perché non è collegato direttamente, colloquiare con il CRS centrale dove sono contenuti i dati dei clienti. L’applicazione degli alberghi infatti è abilitata al dialogo on line per quanto riguarda tariffe e prezzi, statistiche ma non per i dati dei clienti.

La sicurezza è uno dei capitoli fondamentali degli investimenti tecnologici fatti da Best Western Iternational che usa i più aggiornati standard di sicurezza sia a livello di firewall sia a livello di policy. I dati vengono conservati fino alla partenza del cliente e poi cancellati e in nessun modo, dai terminali degli hotel è possibile accedere al Sistema Centrale.

Stiamo lavorando con l’FBI e le autorità internazionali per approfondire le indagini.

In merito al presunto furto dati, Best Western ribadisce che:

- l’ID utente violato è riuscito ad accedere alle prenotazioni di un singolo hotel e non c’è traccia di accesso non autorizzato ai dati di altri hotel Best Western

- Il sistema Best Western non conserva i dati di prenotazione oltre la data di partenza del cliente, limitando quindi la potenziale esposizione dei dati ai clienti di quello specifico albergo che (1) sono partiti entro quella data, (2) che stanno soggiornando e (3) che hanno prenotazioni con data di arrivo futura. In questo modo

- Non c’è traccia di accesso non autorizzato ai dati di altri clienti

Nessun database rubato quindi (ma solo un database violato, peraltro senza conseguenze) e nessun rischio che sia avvenuto un furto d’identità, o che le carte di credito dei nostri clienti siano state esposte a rischi concreti. Nel nostro modo di gestire quotidianamente il nostro business ci atteniamo strettamente agli standard vigenti in materia di sicurezza dati e relativa tutela (Data Security Standards, DSS) vigenti nel settore delle carte di pagamento (Payment Card Industry, PCI). Onde accertare il rispetto di tale conformità, e per scongiurare con certezza il rischio che i nostri Clienti subiscano un furto dati, Best Western gestisce una rete sicura, protetta da firewall e disciplinata da rigorose direttive relativamente alla sicurezza delle informazioni. I sistemi e i processi vengono regolarmente testati allo scopo di proteggere le informazioni degli ospiti vengono utilizzati servizi forniti da imprese terze leader del settore, per valutare l’adeguatezza delle misure di sicurezza implementate.

Data la natura della sicurezza informatica e l’assenza di traccia di tentativi di accedere al nostro sistema senza autorizzazione, l’altissimo senso di responsabilità di Best Western consisterà nel: (1) continuare a monitorare tale attività; (2) assistere le autorità e le società di carte di credito nostre partner nelle indagini; (3) rendere ancora più severe le nostre norme di sicurezza, che già rispondono agli attuali standard PCI; (4) rendere ancora più efficaci i sistemi di protezione dei nostri 4000 alberghi in tutto il mondo. Siamo attivamente impegnati su tutti questi quattro fronti, in difesa dei nostri clienti e degli alberghi nostri associati.

Link: www.bestwestern.it