Best Western w odpowiedzi na historię w Sunday Herald

Niniejsze oświadczenie ma dostarczyć dalszych szczegółów w sprawie, w dużej mierze błędnej, historii zapoczątkowanej przez gazetę The Sunday Herald w Szkocji, dotyczącej włamania hakerów do centralnego systemu rezerwacji sieci hoteli Best Western.

Możemy potwierdzić, że w dniu 21 sierpnia 2008 r. w obrębie tylko jednego z hoteli miały miejsce trzy niepowiązane ze sobą próby, wszystkie używające pojedynczego loginu, uzyskania dostępu do tych samych danych.

Hotelem tym był liczący sobie 107 pokojów hotel sieci Best Western am Schloss Kopenick w Berlinie (Niemcy). Wirus typu koń trojański został wykryty przez oprogramowanie antywirusowe hotelu. Złamany login dawał dostęp do danych dotyczących rezerwacji wyłącznie w tym jednym hotelu. Login został natychmiast unieważniony a użyty w próbie włamania komputer wyłączony z użycia.

Możemy także potwierdzić, że udało nam się zawęzić liczbę klientów dotkniętych włamaniem do dziesięciu. Obecnie kontaktujemy się z tymi klientami, by zaoferować im wszelką niezbędną pomoc.

Współpracujemy z FBI i władzami międzynarodowymi w celu przeprowadzania dalszego dochodzenia.

Ważne uwagi:

- Złamane ID użytkownika pozwalało na uzyskanie dostępu do danych dotyczących rezerwacji jedynie w pojedynczym hotelu i nie ma dowodów sugerujących, że miał miejsce nieautoryzowany dostęp do danych w jakimkolwiek innym hotelu Best Western.

- W hotelach Best Western niszczy się dane dotyczące rezerwacji w ciągu siedmiu dni od opuszczenia hotelu przez gościa, co ogranicza ryzyko ujawnienia tych danych (1) gościom, którzy opuścili hotel do tygodnia przed możliwym ujawnieniem, (2) obecnym gościom, (3) przyszłym gościom, którzy przybędą do danego hotelu.

- Nie ma dowodów pozwalających przypuszczać, że miał miejsce nieautoryzowany dostęp do jakichkolwiek innych danych klientów.

W prowadzeniu naszego biznesu stosujemy się do standardów ochrony danych (DSS) obowiązujących przy płatnościach kartą (PCI). By jak najlepiej stosować się do tych zasad, Best Western utrzymuje bezpieczną sieć, chronioną firewallami i kierowaną zgodnie z polityką skutecznej ochrony informacji. Regularnie poddajemy nasze systemy i procesy testom w celu ochrony informacji dotyczących naszych klientów oraz zatrudniamy wiodące w tej branży firmy niebędące z nami połączone, by oceniały nasze zabezpieczenia. Dodatkowo kasujemy informacje dotyczące kart kredytowych i wszelkie inne informacje osobiste, gdy tylko gość opuszcza nasz hotel.

Biorąc pod uwagę naturę ochrony informatycznej, brak dowodów świadczących o rzeczywistych próbach nieautoryzowanego dostania się do systemu, najwyższy poziom reakcji Best Western musi zawierać w sobie: (1) dalsze poszukiwania mające na celu wykrycie podobnej aktywności; (2) pomoc instytucjom egzekwującym prawo oraz naszym partnerom posiadającym karty kredytowe w ich śledztwach; (3) jeszcze poważniejsze zaostrzenie naszego, już teraz rygorystycznego, reżimu ochrony danych, co oczywiście jest zgodne ze standardami PCI; (4) rozwijanie najlepszych rozwiązań ochrony danych w 4000 naszych hoteli na świecie. Jesteśmy aktywnie zaangażowani w działalność ze wszystkich czterech zakresów, działając dla dobra klientów, których bardzo sobie cenimy, i hoteli członkowskich.

Udostępnimy dalsze ważne informacje, gdy tylko będą one dostępne. Klientów, którzy martwią się o bezpieczeństwo swoich danych, zachęcamy do skontaktowania się z obsługą klienta Best Western pod numerem telefonu (w USA) 800-528-1238.

Oświadczenie Best Western International, źródło: BusinessWire