Hotellkjedene Thon Hotels og Nordic Choice Hotels er rammet av en sikkerhetsbrist som gjorde at hotellgjestens innsjekkingsdetaljer lå eksponert ut mot internett. Et anslag tilsier at over 1,5 millioner opphold fra hele Europa var eksponert, men selskapet bak opererer internt med lavere tall.
– Huff, jeg skulle jo ikke ha overnattet på hotell i Oslo. Jeg ser at navnet mitt, inn- og utsjekkingsdato, mailadresse, reservasjonsnummer og hotell ligger tilgjengelig ute på nettet for alle og enhver, skriver Roy Solberg i en melding.
Solberg jobber som utvikler for en bedrift i Bergen, og har for vane å ettergå IT-løsninger til tjenestene han er i kontakt med. Det siste året har han publisert 14 sårbarheter etter å ha varslet den aktuelle tjenesten og gitt dem rimelig tid til å fikse feilen.
To hotellkjeder i Norge bruker nettløsningen til Ariane for å sende invitasjon til forhåndsinnsjekking. Stikkprøver gjennomført av Solberg tilsier at over 1,5 millioner hotellopphold fra 2016 til i dag har ligget åpent ut mot internett.
Det betyr at man med rett nettadresse kan ha hentet ned samtlige opphold og gjort dem søkbare og kryssbare etter for eksempel navn, epost, og tidsperiode.
Det franske leverandørselskapet Ariane opplyser gjennom Miles Gaudoin, som er ansvarlig for Nord-Europa, at de fikset sårbarheten under 24 timer etter at de ble varslet og at de tar hendelsen på alvor.
Datatilsynet i Norge er også varslet om hendelsen, det er foreløpig uavklart om de berørte hotellgjestene vil bli informert.
Ariane opplyser at deres foreløpige estimat om antall berørte hotellopphold er lavere enn Solbergs, og at flertallet ligger i deres kjernemarked i Tyskland og Frankrike.
Kan dere fastslå med sikkerhet at ingen andre har utnyttet denne sårbarheten?
– Vi kan ikke være sikre. Vi har ikke vært utsatt for en lignende situasjon og innsjekking via internett er relativt ny praksis i vår bransje, sier Gaudoin, over telefon.
Thon og Choice rammet
De to norske hotellkjedene som ble rammet er Thon Hotels og Nordic Choice Hotels.
Thon Hotels startet i august en gradvis utrulling av Arianes system som nå brukes på 32 av deres hoteller.
Nordic Choice Hotels har trappet ned deres bruk av Ariane, og det ene hotell som i dag benytter systemet skal fase det ut om to uker, oppgir sikkerhetssjef Per Thorsheim.
Konserndirektør Morten Thorvaldsen i Thon Hotels forteller at feilen er rettet og at de er i dialog med Datatilsynet om videre håndtering. Videre understreker Thorvaldsen at de tar situasjonen på alvor.
– Svært alvorlig
– Et hotell skal ikke avsløre til omverden når og hvor jeg skal overnatte eller hvor jeg overnattet for to år siden, sier Solberg, som beskriver det som en «svært alvorlig sikkerhetsbrist».
Fagdirektør for sikkerhetskultur, Roar Thon, i Nasjonal sikkerhetsmyndighet (NSM) mener denne typen informasjon kan gjøre det langt enklere å drive med såkalt sosial manipulering. Det kan blant annet være å sende «personlig eposter» med det formål å få tilgang til mer sensitive tjenester som epostkonto og systemer på arbeidsplassen.
– Utover dette kan slik informasjon ha en viss etterretningsmessig verdi knyttet til enkeltindivider av interesse, dersom all informasjon er hentet ned, lagret og gjort søkbar, sier Roar Thon.
Feilen er rettet opp
Miles Gaudoin i Ariane forteller at det ikke lenger skal være mulig å utnytte svakheten Solberg avslørte, og at de nå er på vei til å være helt i samsvar med de nye personvernreglene (GDPR) som implementeres i EU den 25. mai.
Blant annet vil hele nettportalen bli HTTPS-kryptert neste uke, og det gjøres nå tiltak for å påse at alle kunder følger deres sikreste løsning.
Standardoppsettet i dag er at en gitt epostadresse må matche et stigende identifikasjonsnummer, noe selskapet mener vil hindre liknende tilgang.
Svakheten som gjør det mulig å hente ut andres hotellovernattinger skyldes, ifølge Gaudoin en menneskelig feil i oppsettet som påvirket Thon og noen andre hotellkjeder.
Selv om den kritiske sårbarheten nå er fikset, er Roy Solberg ennå skeptisk til hvordan dette kunne skje:
– Man kan undre seg over om norske tjenester og firma forstår hvor de sender opplysninger om kundene sine, hvordan de blir lagret, og hvor lenge de blir lagret.
Kjetil Seppo Giske
At han selv jobber som utvikler var vel nettopp derfor han ettergikk dette. Ikke på tross av? Ref: -«Men han ettergikk….»
Martin Gundersen
Ser at det kanskje ikke passet med en nekting der nei. Endrer det i morgen.
Takk for at du gjorde meg oppmerksom på det
Nysjerrig
Kan det ha sammenheng med at de billigste kjedene velger de billigste løsningene? All over?
Martin Strand
«Standardoppsettet i dag er at en gitt epostadresse må matche et stigende identifikasjonsnummer, noe selskapet mener vil hindre liknende tilgang.»
Dersom jeg vet at kollegaen min bestilte rett etter meg, så trenger jeg ikke prøve veldig mange id-numre før jeg finner detaljene hans (eller hennes) i tillegg. Med andre ord dønn usikkert slik det beskrives her.
Det er mulig en «keyed hash» av sekvensnummeret kan fikse problemet, litt avhengig av hvordan det hele brukes.
Martin Gundersen (NRK)
Du har nok rett i at det ikke er helt umulig å gjette seg til rett kombinasjon av id og person.