Ook Nederlandse Hyatt-hotels werden getroffen door malware

Betaalsystemen van de twee Hyatt-hotels in Nederland waren besmet met malware, waardoor creditcardgegevens van klanten konden worden onderschept. In totaal waren systemen van 318 hotels wereldwijd besmet, blijkt uit een lijst van de hotelketen.

Hyatt geeft op een webpagina naar aanleiding van eigen onderzoek meer informatie over de malware, die in december aan het licht kwam. Ook is er een lijst opgesteld met alle hotels die getroffen waren, met daarbij de data wanneer mogelijk creditcardgegevens zijn onderschept. In de meeste gevallen kon de malware zijn werk doen tussen 13 augustus en 8 december 2015. Op sommige locaties was de malware sinds 30 juli 2015 actief. Uit de lijst blijkt dat ook betaalsystemen van de twee Hyatt-hotels in Nederland besmet waren met de malware.

Volgens Hyatt hebben de criminelen met de malware de naam van de creditcardhouders, kaartnummers, verloopdata en verificatiecodes kunnen onderscheppen. De hotelketen zegt brieven en e-mails te sturen naar getroffen klanten waarvan de gegevens bekend zijn. Klanten die getroffen zijn komen in aanmerking voor een jaar gratis gebruik van de Protector-service van CSID. Hyatt heeft een regeling getroffen met deze aanbieder van fraudedetectie om dat te bewerkstelligen.

Volgens de hotelketen zouden de creditcardgegevens met name in de restaurants onderschept zijn. In een kleiner aantal gevallen zouden gegevens bij spa's, golfwinkels, parkeerplaatsen en balie's ten prooi gevallen zijn aan de malware.

Eind december maakte de hotelketen bekend dat betaalsystemen waren besmet met malware, waardoor creditcardgegevens door criminelen buitgemaakt zijn. Destijds was nog niet bekend hoeveel van de 627 Hyatt-hotels wereldwijd getroffen waren en hoelang de kwaadaardige software zijn werk kon doen. Eerder vielen ook hotels van de ketens Hilton, Starwood en Trump ten prooi aan vergelijkbare inbraken.

IT-banen

Reacties (31)

Alcmaria 15 januari 2016 14:05

Ik begrijp niet waarom debetcards (bankpassen) niet zijn geraakt door deze malware.. Als je toch al gegevens buitmaakt via betaalsystemen.. waarom dan niet gelijk alles. Verder vraag ik me af of ze met "verifcatiecode" de CVC of CVV waardes van de kaart bedoelen, aangezien die alleen worden gebruikt bij transacties waar de fysieke kaart niet aanwezig is.

In ieder geval... de kaarthouder heeft hier minimaal last van, als er fraude wordt gepleegd met zijn of haar kaart, krijg je altijd je centjes terug (en een nieuwe kaart).

Verwijderd @Alcmaria • 16 januari 2016 16:30

Maar diegene die de items of service hebben geleverd worden alsnog gedupeerd

Alcmaria @Verwijderd • 16 januari 2016 17:08

Dat is het risico van als je geen EMV terminal in je winkel hebt staan of als je creditcards via een website accepteert zonder 3dSecure of een andere service die een extra laag beveiliging bieden.

Vandaar de Liability Shift, als de winkelier al het mogelijk heeft gedaan om fraude te voorkomen dan ligt de liability bij de issuer van de kaart, als de winkelier verouderde of geen beveiliging gebruikt, ligt de verantwoordoorlijkheid bij de winkelier.

Verwijderd @Alcmaria • 15 januari 2016 14:16

Omdat de huidige debit cards met een chip werken, de private key die je nodig hebt om een transactie te doen verlaat die chip nooit. Hierdoor is het stukken veiliger dan bijv een magneetstrip of nog erger alleen de code van de kaard + de cvc. Ik snap niet dat ze niet meer pushen voor zo'n systeem en pas gaan vervangen als het de spuigaten uit loopt.

Je hebt er misschien niet direct last van maar ik vind het nogal vervelend dat ik meer aan transactie kosten moet betalen omdat de bank geen veilig systeem kan of wil bedenken. Het geld om dit te vergoeden moet immers ergens vandaan komen.

Alcmaria @Verwijderd • 15 januari 2016 14:24

Alle huidige credit cards werken ook met een chip... dus dat zou niet op moeten gaan. Op dit moment zijn het vooral de amerikanen die achter lopen omdat heel veel terminals daar nog geen EMV accepteren maar alleen magstripe, hoewel ook daar de tendens nu is om om te gaan naar chip.. (ook vanwege de liability shift waardoor de acquirer moet betalen ipv de issuer in het geval van fraude).

Verwijderd @Alcmaria • 15 januari 2016 19:06

Alle huidige credit cards hebben inderdaad een chip, maar vaak wordt er in hotels geswiped als je je CC alleen als borg gebruikt (je hoeft dan ook niet te tekenen of de PIN in te voeren, dat komt pas bij het uitchecken en betalen).

Cornicum @Alcmaria • 15 januari 2016 14:52

Er zal vast een tweaker zijn die hier meer verstand van heeft maar dit is wat ik er van weet.

Als ik het goed gelezen heb, dan zijn alleen de naam van de kaarhouder, kaartnummer, de verificatie code en de datum waarop de pas verloopt buit gemaakt.

Nu waar het verschil zichtbaar wordt:
Een bankpas is een manier om geld over te maken die normaal gesproken een verificatie nodig heeft om te betalen. En er dan geld van de ene rekening in de ander wordt geboekt. hierbij is de pincode nodig, anders vindt er geen transactie plaats. (NFC is een uitzondering daar op).
En de pincode wordt niet mee gestuurd over het netwerk, hoe dat systeem exact werkt weet ik niet.

Bij een credit card is soms alleen het nummer van een credit card genoeg om een transactie te doen. (voornamelijk in de VS)in de gevallen dat dit niet genoeg is hebben de dieven vaak alleen de verificatie code nodig om een transactie te doen. laat nu net alle informatie die nodig is gestolen zijn...
Nu ben je niet aansprakelijk voor eventuele fraude met een credit card als de kaart niet gestolen is. (indien die wel gestolen is tot 50 euro)

Ook EMV chips gaan dit probleem niet oplossen...(link)
Credit cards en bankpassen zijn ongeveer even veilig maar de risico's zijn verschillend.

mashell @Cornicum • 15 januari 2016 15:39

Credit cards en bankpassen zijn ongeveer even veilig maar de risico's zijn verschillend.

Correcte analyse maar hoe kom je tot deze conclusie? Ik zou zeggen bankpassen zijn veiliger dan CC want dat vereist een actie van de gebruiker. Aan alle data die over de lijn gaat heb je niet goenoeg om de rekening te plunderen.

Cornicum @mashell • 15 januari 2016 17:10

De kans dat er met je credit card iets gebeurt is groter, maar de schade is meestal beperkt.
De kans dat er met je bankpass iets gebeurt is kleiner, maar de schade is dan vaak groter. (hele bankrekening leeg getrokken bijvoorbeeld).

Ik moet toegeven dat "veilig" misschien niet het juiste woord is.
Maar ik ben geen expert op dit gebied, en deel alleen wat ik wel weet.

Snow_King

15 januari 2016 13:51

Ik heb het idee dat IT in hotels vaak zwaar verouderd is. Neem een voorbeeld aan de sloten op de deuren die tegenwoordig ook al probleemloos te kraken zijn:

- nieuws: Inbrekers gebruiken exploit voor openen elektronische hotelsloten
- nieuws: Onderzoeker kraakt elektronische hotelsloten binnen een seconde

Het zijn natuurlijk ook zeer complexe en grote systemen die eigenlijk 24/7 moeten werken. Mensen moet namelijk altijd kunnen boeken en kunnen inchecken.

Daarmee praat ik het niet goed, maar ik kan wel inzien waardoor dit komt.

Cafe Del Mar

@Snow_King • 15 januari 2016 13:57

In Europa (eigen ervaring Italië, België en Nederland) zie ik die sloten niet meer. Ik zie overal sloten met NFC/RFID. Er is dus geen magneetstrip om te lezen (en te vervalsen).
Geen idee of dat beter is qua veiligheid:).

DarkBlazer @Cafe Del Mar • 15 januari 2016 14:32

Ik heb laatst bij een collega gezeten die in IT beveiliging en hij heeft me een aantal dignen laten zien waar eigenlijk vrij weinig info over is.

Het is zeer makkelijk om een RFID/NFC lezer te maken voor ongeveer 40 dollar en de software die gebruikt word is complete opensource.

De unique code van de NFC/RFID kaart is makkelijk uit te lezen en te dupliceren met de hardware wat hij gebruikt heeft met in combinatie van de software.

In plaats van de kaart te gebruiken om de deur te openen gebruikt hij nu zijn telefoon waar de NFC reader inzit.

Aan de ene kant is het natuurlijk mooi dat dit kan, maar als je in hotel verblijft is dit natuurlijk niet zo mooi...

Verwijderd @Cafe Del Mar • 15 januari 2016 19:09

NFC/RFID is alleen de communicatietechnologie. Of je nu NFC of een magneetstrip gebruikt maakt niet uit als je geen speciale security toepast.

MrManuel

@Cafe Del Mar • 15 januari 2016 14:11

Ik heb laatste nog toevallig in een hotel gezeten met een van deze sloten.
Nog genoeg hotels in Nederland ermee hoor.

BlaDeKke @Cafe Del Mar • 15 januari 2016 14:13

Hangt er van af. Als die beveiliging van die sloten niet goed op orde in. Kan dit met een smartphone. Zo is op de oudaan (grootste politie kantoor van provincie antwerpen) destijds elk slot vervangen door rfid kaartlezer. En dit kon dmv een smartphone zo gehacked worden. Dus aan elke deur een portier tot het probleem opgelost is. Ik heb het verder niet meer gevolgd.

http://m.hln.be/hln/m/nl/...aken-met-smartphone.dhtml

Blijkbaar de politietoren in Brussel. Te hacken met nfc...

[Reactie gewijzigd door BlaDeKke op 25 juli 2024 00:37]

Luno @Snow_King • 15 januari 2016 14:19

Een jaar ofzo geleden is amerika. Zo'n hotel deur waar je je kaart in moeten steken en motortje trekt slot open. Deed het dus niet. De utility guy erbij: draadje onder de deur door, wat friemelen. Deur open, en batterijen die aan de binnenkant zitten vervangen.
Theoretisch zou het natuurlijk kunnen zijn, dat dit alleen werkt als batterijen leeg zijn. Maar ik heb sindsdien grote twijfels aan dit geheel. Ik heb ook geen idee of andere systemen ook met batterijen (en waardan) werken.
Maar koffers met TSA approved sloten beteken dat de TSA (Zeg maar USA douane checkers) alles kunnen open maken. Eén ding is zeker: het dievengilde heeft dezelfde masterkeys.

bamboe @Luno • 15 januari 2016 14:25

Van de TSA sloten is het algemeen bekend, iemand is ooit met de tsa keys gefotografeerd en foto is op internet gezet, hierna zijn er door een andere partij met een 3d printer keys van uitgeprint die bleken te werken....

Verwijderd 15 januari 2016 13:50

Nederlandse Hyatt-hotels werden getroffen door malware

Volgens mij dekt deze kop de lading niet.

Als ik naar de lijst kijk, lijkt her erop dat alle Hyatt-hotels wereldwijd getroffen zijn.

Auteur

Xtuv @Verwijderd • 15 januari 2016 13:53

Je hebt gelijk dat het niet helemaal de lading dekt. Ik heb er nog 'Ook' voorgezet. 250 hotels zijn getroffen wereldwijd, dat zijn niet alle hotels (627).

Jegorex @Verwijderd • 15 januari 2016 13:55

Dat staat ook in de eerste alinea van het nieuwsbericht

In totaal waren systemen van 250 hotels wereldwijd besmet, blijkt uit een lijst van de hotelketen.

oshin 15 januari 2016 13:46

Heb je een geheime afspraak, krijg je alsnog een brief op de deurmat...Cash money baby!

vinkjb @oshin • 15 januari 2016 13:51

waarom zou je een geheime afspraak hebben? ooh jaaa, veel mensen zijn lid van Secondlove..

w00t00w @kimborntobewild • 15 januari 2016 13:59

Het zou pas een bananenrepubliek zijn als SecondLove verboden zou worden omdat mensen als jij - mensen die in de waan leven het recht te hebben zich te bemoeien met het leven van anderen (op basis van je eigen normen en waarden ook nog - je lijkt wel een reli-fundi) - van mening zijn dat zulke sites verboden moeten worden. Of je het met zo'n site eens bent of niet (in jouw geval duidelijk niet) is volstrekt irrelevant: zolang er maar geen wetten worden gebroken.

[Reactie gewijzigd door w00t00w op 25 juli 2024 00:37]

Verwijderd @kimborntobewild • 15 januari 2016 16:45

Het zijn geen criminelen, laten we daar even duidelijk over zijn. Dat ze geen respect van me krijgen is een ander verhaal. Dat doe je je partner niet aan.

Maar om even alles zwart/wit te zien en alle gegevens openbaar te gooien gaat toch echt wel heel wat stappen te ver. We hebben allemaal kunnen zien hoe dat in zn werking gaat bij Ashley Madison.

https://en.wikipedia.org/wiki/Ashley_Madison_data_breach

SomerenV @kimborntobewild • 15 januari 2016 13:58

Hoe verwerpelijk Secondlove ook is, het is gewoon legaal en hoewel ik er fel op tegen ben zie ik geen redenen om het te verbieden. Alsof affaires zonder zo'n site die het moedwillig faciliteert niet voor komen. Dan kun je ook net zo goed meteen OkCupid, Badoo, Tinder, Facebook en weet ik veel wat nog meer opdoeken.

Maurits van Baerle @kimborntobewild • 15 januari 2016 14:07

Of iets crimineel is is bepaald in de wet, nergens anders. Bovendien zijn normen en waarden ondergeschikt aan de wet. Wat juiste normen en waarden zijn verschilt per persoon, wat de wet voorschrijft niet.

Kortom, Second Love is niet crimineel, ze voorzien gewoon in een dienst waar kennelijk behoefte aan is. Net als MacDonald's, de kerk of Bol.com.

puntje013 @Maurits van Baerle • 16 januari 2016 09:29

Idd, zolang het woord "trouw" in de wet niet duidelijk uitgelegd wordt is overspel niet strafbaar.

Zie: http://www.rechtblog.nl/2...ond-love-in-tegen-de-wet/

PolarBear @kimborntobewild • 15 januari 2016 15:19

De wet is ondergeschikt aan goede normen en waarden.

Niet jouw normen en waarden.

Stel er zou een service zijn die je vertelt waar je kan zien waar en wanneer jongedames alleen thuis zijn, zodat het voor verkrachters wat makkelijker is om slachtoffers te vinden.

Verkrachting is iets anders dan 2 volwassen mensen die een overspel plegen of naast hun relatie andere mensen zien of een open relatie hebben .

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (31)

Sorteer op:

Weergave: