Gjester ved to norske hotellkjeder kan ha fått sine bookingdetaljer eksponert

Kategorier: Samfunn & Sikkerhet

Roy Solberg oppdaget at hotelloppholdet hans lå eksponert på nett. Foto: Anders Ekanger/NRK

Hotellkjedene Thon Hotels og Nordic Choice Hotels er rammet av en sikkerhetsbrist som gjorde at hotellgjestens innsjekkingsdetaljer lå eksponert ut mot internett. Et anslag tilsier at over 1,5 millioner opphold fra hele Europa var eksponert, men selskapet bak opererer internt med lavere tall.

– Huff, jeg skulle jo ikke ha overnattet på hotell i Oslo. Jeg ser at navnet mitt, inn- og utsjekkingsdato, mailadresse, reservasjonsnummer og hotell ligger tilgjengelig ute på nettet for alle og enhver, skriver Roy Solberg i en melding.

Solberg jobber som utvikler for en bedrift i Bergen, og har for vane å ettergå IT-løsninger til tjenestene han er i kontakt med. Det siste året har han publisert 14 sårbarheter etter å ha varslet den aktuelle tjenesten og gitt dem rimelig tid til å fikse feilen.

To hotellkjeder i Norge bruker nettløsningen til Ariane for å sende invitasjon til forhåndsinnsjekking. Stikkprøver gjennomført av Solberg tilsier at over 1,5 millioner hotellopphold fra 2016 til i dag har ligget åpent ut mot internett.

Det betyr at man med rett nettadresse kan ha hentet ned samtlige opphold og gjort dem søkbare og kryssbare etter for eksempel navn, epost, og tidsperiode.

Ved å utnytte forskjellige maler kan man også få tilgang til gjesters reservasjonsnummer. Foto: Skjermbilde

Det franske leverandørselskapet Ariane opplyser gjennom Miles Gaudoin, som er ansvarlig for Nord-Europa, at de fikset sårbarheten under 24 timer etter at de ble varslet og at de tar hendelsen på alvor.

Datatilsynet i Norge er også varslet om hendelsen, det er foreløpig uavklart om de berørte hotellgjestene vil bli informert.

Ariane opplyser at deres foreløpige estimat om antall berørte hotellopphold er lavere enn Solbergs, og at flertallet ligger i deres kjernemarked i Tyskland og Frankrike.

Kan dere fastslå med sikkerhet at ingen andre har utnyttet denne sårbarheten?

– Vi kan ikke være sikre. Vi har ikke vært utsatt for en lignende situasjon og innsjekking via internett er relativt ny praksis i vår bransje, sier Gaudoin, over telefon.

Thon og Choice rammet

De to norske hotellkjedene som ble rammet er Thon Hotels og Nordic Choice Hotels.

Thon Hotels startet i august en gradvis utrulling av Arianes system som nå brukes på 32 av deres hoteller.

Nordic Choice Hotels har trappet ned deres bruk av Ariane, og det ene hotell som i dag benytter systemet skal fase det ut om to uker, oppgir sikkerhetssjef Per Thorsheim.

Konserndirektør Morten Thorvaldsen i Thon Hotels forteller at feilen er rettet og at de er i dialog med Datatilsynet om videre håndtering. Videre understreker Thorvaldsen at de tar situasjonen på alvor.

– Svært alvorlig

– Et hotell skal ikke avsløre til omverden når og hvor jeg skal overnatte eller hvor jeg overnattet for to år siden, sier Solberg, som beskriver det som en «svært alvorlig sikkerhetsbrist».

Fagdirektør for sikkerhetskultur, Roar Thon, i Nasjonal sikkerhetsmyndighet (NSM) mener denne typen informasjon kan gjøre det langt enklere å drive med såkalt sosial manipulering. Det kan blant annet være å sende «personlig eposter» med det formål å få tilgang til mer sensitive tjenester som epostkonto og systemer på arbeidsplassen.

– Utover dette kan slik informasjon ha en viss etterretningsmessig verdi knyttet til enkeltindivider av interesse, dersom all informasjon er hentet ned, lagret og gjort søkbar, sier Roar Thon.

Feilen er rettet opp

Miles Gaudoin i Ariane forteller at det ikke lenger skal være mulig å utnytte svakheten Solberg avslørte, og at de nå er på vei til å være helt i samsvar med de nye personvernreglene (GDPR) som implementeres i EU den 25. mai.

Blant annet vil hele nettportalen bli HTTPS-kryptert neste uke, og det gjøres nå tiltak for å påse at alle kunder følger deres sikreste løsning.

Standardoppsettet i dag er at en gitt epostadresse må matche et stigende identifikasjonsnummer, noe selskapet mener vil hindre liknende tilgang.

Svakheten som gjør det mulig å hente ut andres hotellovernattinger skyldes, ifølge Gaudoin en menneskelig feil i oppsettet som påvirket Thon og noen andre hotellkjeder.

Selv om den kritiske sårbarheten nå er fikset, er Roy Solberg ennå skeptisk til hvordan dette kunne skje:
– Man kan undre seg over om norske tjenester og firma forstår hvor de sender opplysninger om kundene sine, hvordan de blir lagret, og hvor lenge de blir lagret.

5 kommentarer

  1. Martin Strand

    «Standardoppsettet i dag er at en gitt epostadresse må matche et stigende identifikasjonsnummer, noe selskapet mener vil hindre liknende tilgang.»

    Dersom jeg vet at kollegaen min bestilte rett etter meg, så trenger jeg ikke prøve veldig mange id-numre før jeg finner detaljene hans (eller hennes) i tillegg. Med andre ord dønn usikkert slik det beskrives her.

    Det er mulig en «keyed hash» av sekvensnummeret kan fikse problemet, litt avhengig av hvordan det hele brukes.

    Svar på denne kommentaren

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *. Les vår personvernserklæring for informasjon om hvilke data vi lagrer om deg som kommenterer.