De Amerikaanse hotelketen Wyndham heeft drie grootschalige inbraken binnen twee jaar op het computersysteem verzwegen. Dat blijkt uit een klacht van de Amerikaanse Federal Trade Commission (FTC). De aanvallen waren niet in de zakelijke stukken vermeld, ook al wil de Amerikaanse beurswaakhond SEC dat bedrijven investeerders over cybercrime-aanvallen inlichten.

Volgens de FTC schoot de beveiliging van Wyndham ernstig tekort, waardoor de aanvallers er met honderdduizenden creditcardgegevens vandoor gingen. Met de gestolen gegevens werd voor miljoenen dollars gefraudeerd. Verder zou het privacybeleid van de hotelketen de genomen beveiligingsmaatregelen om persoonsgegevens te beschermen verkeerd hebben weergegeven.

Lakse beveiliging
De FTC stelt dat de genomen beveiligingsmaatregelen oneerlijk, misleidend en in strijd met de FTC-wetgeving waren. Zo ontbraken er complexe gebruikersidentiteiten en wachtwoorden, firewalls en netwerksegmentatie tussen hotel- en bedrijfsnetwerk. Daarnaast stond de hotelketen onjuiste software configuraties toe, waardoor gevoelige betaalkaartgegevens in platte tekst werden opgeslagen. Vanwege de inadequate beveiligingsmaatregelen wisten de aanvallers toegang tot de systemen van 41 Wyndham-hotels te krijgen.

Vervolgens installeerden de aanvallers keyloggers en en logden in op het managementsysteem, waar de creditcardgegevens van klanten in platte tekst werden bewaard. Uiteindelijk werden meer dan 500.000 creditcardaccounts gecompromitteerd, waarbij de gegevens naar een Russisch domein werden gestuurd.

Ondanks de inbraak werden bekende beveiligingsproblemen niet opgelost. In maart 2009 wisten de aanvallers weer toegang tot het systeem van de hotelketen te krijgen. Dit keer werden 50.000 creditcardgegevens gestolen. Later dat jaar was het weer raak. Bij dit incident werden 69.000 kaartgegevens buitgemaakt.

Met dank aan Michael voor de tip