Site icon Sophos News

Booking.com multado por no informar de una violación de datos lo suficientemente rápido

La Autoridad Holandesa de Protección de Datos (DPA), el regulador de protección de datos del país, ha multado a la compañía de reservas de hoteles y viajes en línea Booking.com con casi medio millón de euros por una violación de datos.

Curiosamente, la multa se emitió no solo porque hubo una infracción, sino porque la empresa no informó de la infracción con la suficiente rapidez:

La Autoridad Holandesa de Protección de Datos (DPA) ha impuesto una multa de 475.000 euros a Booking.com porque la empresa tardó demasiado en informar de una violación de datos a la DPA. Cuando ocurrió la violación, los delincuentes obtuvieron los datos personales de más de 4.000 clientes. También consiguieron la información de las tarjetas de crédito de casi 300 personas.

Según el informe, el ataque se llevó a cabo contra hoteles en los Emiratos Árabes Unidos (EAU), utilizando trucos de ingeniería social por teléfono.

Aparentemente, los delincuentes llamaron al personal de 40 hoteles diferentes en la región y los convencieron para que entregaran las credenciales de inicio de sesión de las cuentas de los hoteles en el sistema de Booking.com.

Con estos inicios de sesión robados, los delincuentes recuperaron datos sobre las reservas de 4.109 clientes, incluidos al menos los nombres, direcciones y números de teléfono de esos clientes.

Sin embargo, los atacantes también obtuvieron datos de tarjetas de crédito de 283 de esas reservas, incluidas 97 reservas en las que también se había registrado el CVV.

El CVV es el código de seguridad (generalmente de tres dígitos) que está impreso al final de la tira de firma en la parte posterior de la tarjeta, pero que no se almacena digitalmente en ningún otro lugar, ni en la banda magnética ni en el chip.

En términos generales, la industria de las tarjetas de pago dice que los CVV no deben guardarse en un almacenamiento permanente, al menos después de que se completa una transacción.

Sin embargo, esos códigos con frecuencia se guardan temporalmente, asumiendo que la transacción no se procesa de inmediato, lo que genera el riesgo de exposición si alguna vez se muestran o recuperan más adelante.

La DPA también afirma que los mismos delincuentes intentaron extraer datos personales llamando a hoteles y fingiendo ser de la propia Booking.com, aunque no está claro si esa parte de la estafa funcionó como estaba planeado.

¿Cuál es el riesgo?

Incluso sin los datos de la tarjeta de crédito, los ciberdelincuentes que tienen el “don de la palabra” y que conocen los detalles precisos de una estancia en un hotel , están en una posición privilegiada para estafarlo con una llamada falsa o incluso con un correo electrónico falso, redactado de la manera convincente.

Como señaló Monqique Verdier, vicepresidente de la DPA, en el informe de la Autoridad:

Al hacerse pasar por personal del hotel en correos electrónicos o por teléfono, intentaron robar dinero a la gente. Este enfoque puede parecer muy creíble si el defraudador sabe exactamente cuándo hizo una reserva y qué habitación reservó, y luego le pide que pague las noches en cuestión. De esta forma se pueden robar grandes cantidades de dinero.

Después de todo, muchos de nosotros habremos tenido ofertas de este tipo de empresas legítimas, como empresas de alquiler de coches y hoteles, donde nos contactan desde una reserva que hicimos, preguntando si queremos mejorar o ampliar nuestra reserva o pagar por adelantado para obtener una tarifa más barata, etc.

¿Cómo se informo del incidente?

El informe de la DPA enumera el cronograma de este incidente de la siguiente manera:

No es lo suficientemente rápido, dice la DPA.

Las empresas tienen 72 horas para informar desde el momento en que saben que se ha producido una infracción, no 72 horas después de que se notifica a los clientes.

Según esa métrica, Booking.com debería haber informado a la DPA antes del 16 de enero de 2021, 22 días antes de cuando lo hizo:

Es fundamental actuar con rapidez, sobre todo para las víctimas de la filtración. Después de recibir un informe, la DPA puede ordenar a una empresa que advierta inmediatamente a los afectados. Esto puede evitar que los delincuentes tengan semanas para intentar defraudar a los clientes.

¿Qué hacer?

Exit mobile version