Em um comunicado oficial disponível aqui, o Presidente Global de Operações do Hyatt Hotels Corporation, Chuck Floyd, informa que hotéis do grupo foram afetados por um ataque em seus sistemas e que isso pode ter permitido o acesso não autorizado aos dados de cartões de créditos de seus hóspedes, entre os dias 18 de março de 2017 e 2 de julho de 2017.
Foram afetados ao todo, 41 hotéis dos seguintes países: Brasil, China, Colômbia, Guam (ilha sob o controle americano), Índia, Indonésia, Japão, Malásia, México, Porto Rico, Arábia Saudita, Coreia do Sul e EUA. O país com maior número de hotéis atingidos foi a China e no Brasil, a unidade denominada Grand Hyatt São Paulo aparece na lista, conforme publicação que pode ser consultada no site da empresa.
A suspeita investigada pela equipe de segurança do hotel é que um código malicioso foi inserido em um software de terceiro que é usado pela rede de hotéis e embora o comunicado informe que apenas um número pequeno de cartões de crédito tenham sido afetados pelo ataque, não é possível identificar quais clientes tiveram seus dados vazados. Por isso, é recomendável a todos os hóspedes que estiveram em um dos hotéis atingidos pelo ataque, que consultem em suas faturas eventuais movimentações financeiras não reconhecidas.
Este não é o primeiro incidente de vazamento de dados notificado pela empresa. No início de 2016 o Hyatt comunicou que cerca de 200 hotéis foram afetados por um ataque muito parecido com este, que também envolvia a presença de um malware nos computadores, permitindo o furto de dados de cartões de crédito de clientes que estiveram hospedados no segundo semestre de 2015. No Brasil constavam na lista as unidades de São Paulo e do Rio de Janeiro.
Isso demonstra como o crime organizado na modalidade de cibercrime está buscando novas fontes de ganhos financeiros. Hoje todas as organizações que processam e armazenam dados de clientes são alvos potenciais, como hospitais, varejistas, instituições de ensino e como podemos ver, hotéis. Não é a toa que algumas associações como a IATA – International Air Transport Association (Associação Internacional de Transporte Aéreo) está obrigando que as Agências de Viagens cumpram os requisitos de segurança previstos no PCI-DSS, para reduzir o alto índice de fraudes que atinge o setor e aquelas empresas que não estiverem em compliance com as regras, podem sofrer duras penalidades que afetarão a rentabilidade do negócio e com os hotéis não deveria ser diferente. É esperado que incidentes como estes ocorridos com o Hyatt Hotel comecem a se massificar em todo o mundo e acredite, o Brasil é um celeiro de oportunidades para este tipo de crime, por dois motivos óbvios: a grande rede hoteleira que o país possui e a ausência de controles de segurança (alguns básicos) que boa parte destes estabelecimentos possuem. Provavelmente associações ligadas ao setor hoteleiro terão que se movimentar para garantir um padrão mínimo de segurança nas transações de dados de seus clientes, se não quiserem ver seus associados estampando os noticiários de tecnologia em breve, correndo risco de sérios prejuízos financeiros e de imagem diante um mercado altamente competitivo.
Fontes consultadas: ZDNet / Hyatt
Imagens: Flickr
Texto: Roberto Henrique – Analista de Seg. da Informação – ABCTec
