Minstens tien hotels in Italië werden deze zomer al getroffen door een cyberaanval. De identiteitsgegevens van duizenden hotelgasten staan te koop.
Italië kreunt niet alleen onder een hittegolf, het land heeft ook te maken met een golf van cyberaanvallen op hotels. Het Italiaanse nationale agentschap voor cyberveiligheid AGID bevestigt dat minstens tien hotels getroffen zijn en verwacht dat het daar niet bij zal blijven. Dat kan ook vervelend nieuws zijn voor wie recent op vakantie of zakenreis naar Italië is geweest.
De hacker, die opereert onder het pseudoniem mydocs, is immers uit op identiteitsgegevens van gasten die in de hotels verbleven. Op hackersfora verkoopt de hacker scans van identiteitsdocumenten zoals paspoorten. Het gaat volgens het AGID al om tienduizenden ‘hoogwaardige’ scans.
Identiteitsgegevens te koop
Sinds juni is de database met gestolen identiteitsgegevens met mondjesmaat uitgebreid. De aanvaller verkreeg de gegevens via ongeauthoriseerde toegang op de IT-systemen van de hotels. Na eerste meldingen door de getroffen hotels, liep het aantal meldingen en gepubliceerde gegevens snel op.
De laatste ‘lading’ dateert nog maar dinsdagavond. De database zou inmiddels al scans van ongeveer 100.000 individuele documenten bevatten. AGID bevestigt de authenticiteit van de gegevens die te koop staan. Het is niet vermoedelijk tot hoever de database teruggaat in de tijd, maar voor één getroffen hotel in Rome zou het om scans van gasten die jaren geleden incheckten kunnen gaan.
De Italiaanse autoriteit raadt aan om de komende periode extra waakzaam te zijn. Een kwaliteitsvolle scan van je identiteitskaart is een potentiële goudmijn voor cybercriminelen en fraudeurs. AGID waarschuwt voor onder meer bankfraude, identiteitsdiefstal en social engineeringaanvallen, met potentieel dramatische persoonlijke en financiële gevolgen.
Veilig op hotel
Ook wanneer je niet recent naar Italië bent geweest, valt er een les uit te trekken. Tegenwoordig vraagt quasi ieder hotel je identiteitskaart tijdens het inchecken. Dat is toegestaan, mits schriftelijke toestemming van de gast.
De wetgeving of een hotel een kopie mag maken van je identiteitskaart of de gegevens enkel mag overschrijven, verschilt van land tot land. In Nederland bijvoorbeeld is een kopie of scan maken niet toegelaten.
Alleen vergeten hotels (en andere bedrijven) wel eens al dan niet bewust om je gegevens te verwijderen eens ze die niet meer nodig hebben. Weet dat je als consument het recht hebt om te eisen dat je gegevens na het verblijf onmiddellijk verwijderd worden. Een simpel mailtje zou daar in principe voor moeten volstaan.