Diversi alberghi, fra cui Marriott, Sheraton e Hilton, gestiti dalla statunitense The Pyramid Hotel Group, si sono ritrovati con i database dedicati alla cyber-security totalmente esposti. I ricercatori di VpnMentor hanno scoperto 85,4 GB di dati riguardanti i cosiddetti "security log", e non solo, liberamente accessibili al di fuori della rete. In pratica ogni traccia di operazioni sensibili inerente alla cybersicurezza degli alberghi potrebbe essere stata visionata da pirati informatici.
Le criticità a livello di server sono state scoperte il 27 maggio 2019: si parla di apparati legati a Pyramid Hotel Group, una società specializzata nella gestione di hotel e resort. La maggior parte delle proprietà sono concentrate negli Stati Uniti, Hawaii, Caraibi, Irlanda e Regno Unito; fra queste 19 Marriott, diversi Sheraton, Plaza, Hilton e altre realtà indipendenti.
VpnMentor sostiene che i dati facessero riferimento a 96 località differenti, fra cui Tarrytown House Estate, Carton House Luxury Hotel (Irlanda), Aloft Hotels (Florida) e Temple Bar Hotel (Irlanda).
"Da ciò che possiamo vedere, è possibile comprendere la convenzione di denominazione utilizzata dall'organizzazione, i vari domini e il controllo del dominio, i database utilizzati e altre informazioni importanti che possono portare a potenziali penetrazioni", hanno confermato i ricercatori. Tutti dati che farebbero riferimento a al 19 aprile 2019, quindi piuttosto aggiornati.
Nello specifico VpnMentor ha rilevato chiavi API e password, nomi dei dispositivi, indirizzi IP di ingresso, firewall, dati delle porte aperte, alert malware, archivio login, log di malware e brute-force attack, etc. Come se non bastasse sono stati individuati i nomi in chiaro dei dipendenti, quelli dei loro PC e indirizzi, server, dettagli sui sistemi operatori, policy di cybersecutirty e ogni altra informazione che potrebbe essere certamente utile a pirati informatici.
"La maggior parte delle volte, si ottengono dati degli utenti che vengono persi", ha commentato un ricercatori. "Qui, si può sostenere che i dati degli utenti non sono stati persi, ma è come dire ' nessuno ha dimenticato il suo portafoglio e nessun denaro è stato rubato' quando il vero fatto è che la polizia ha lasciato aperta la stanza delle prove e la guida su tutti i nomi e gli indirizzi dei poliziotti sotto copertura, e qualcuno ora può creare enormi danni con questi dati e rubare un milioni di portafogli".
In sintesi l'accesso ai registri può consentire di comprendere immediatamente il livello di difesa, le eventuali falle e le procedure di azione. "L'ironia è che ciò che è esposto proviene da un sistema che ha lo scopo di proteggere l'azienda da tali vulnerabilità", ha sottolineato un ricercatore.
Un altro dettaglio preoccupante è che i dati relativi ai dispositivi potrebbero aver avito conseguenze sulla sicurezza fisica, poiché si parla di serrature di hotel e casseforti in camera.
Pyramid ovviamente è stata avvertita immediatamente e ha chiuso l'accesso al database in questi giorni, ma non ha diffuso note e non ha neanche riconosciuto (pubblicamente) come suo il collegamento ai server.