Vaste vol de données clients chez Best Western

Selon le Sunday Herald, le système de réservation en ligne du groupe Best Western aurait été piraté la semaine dernière. Un pirate indien serait parvenu à contourner les sécurités en place avec l’aide d’un cheval de Troie installé sur un ordinateur utilisé, dans un hôtel du groupe, pour les réservations. [MàJ: commentaires officiels du groupe Best Western]

Les données d’accès obtenues auraient ensuite été revendues à un groupe mafieux russe. Ce dernier aurait alors extrait les données de quelque huit millions de clients des 1312 hôtels de la chaine depuis 2007.

Parmi ces données, outre les noms des clients, on trouve leurs coordonnées complètes, les détails de leurs cartes de crédit, et même les réservations pour leurs séjours à venir. S’appuyant sur des données statistiques, le quotidien écossais estime à 3,5 Md€ le coup de ce vol de données.

Un porte-parole de la chaine Best Western interrogé par le Sunday Herald indique que la faille exploitée a été comblée vendredi après-midi, avant 14h, et que le groupe hôtelier travaille avec les réseaux bancaires pour prévenir, autant que possible, l’utilisation frauduleuse des données volées.

En France, à l’accueil de quelques Best Western rapidement sondés, l’information ne semble pas encore passée. Au service clientèle britannique, les agents d’accueil indiquent que la chaine hôtelière informera « les quelques clients dont les données ont été dérobées, très peu nombreux ». Pour autant, ils ne découragent pas les clients préoccupés de prendre directement contact avec le service clientèle local du pays dans lequel ils se trouvent. 

[Mise à jour] Dans un communiqué, Best Western assure que, contrairement aux affirmations du Sunday Herald, seule une partie des données clients d'un unique hôtel aurait été compromise. Le groupe hôtelier précise qu'il "purge toutes les réservations en ligne rapidement après départ des clients", "informations sur les cartes de crédit ainsi que toutes les autres informations personnelles." Et de souligner que, conformément aux standards de sécurisation des données de l'industrie des cartes de paiement (PCI DSS), le groupe Best Western "chiffre les informations sur les cartes de crédit dans ses systèmes, ses bases de données et dans toute transmission au travers de réseaux publics." 

[Mise à jour] Dans un courrier électronique, le groupe Best Western développe ses arguments à la rédaction du MagIT.

Pour approfondir sur Menaces, Ransomwares, DDoS

Close