Malware op betaalsystemen hotelketen Hyatt stal creditcardgegevens

Hotelketen Hyatt waarschuwt klanten dat het onlangs malware aangetroffen heeft op zijn betaalsystemen. De keten raadt gebruikers aan hun creditcardafschriften in de gaten te houden en deze te controleren op ongeautoriseerde overboekingen.

De malware stond op computers die de systemen voor betalingsverwerkingen beheren en Hyatt heeft de kwaadaardige code 'recent' ontdekt. Tegen Reuters noemt de hotelketen 30 november als specifieke ontdekkingsdatum maar onduidelijk is hoe lang de malware al op de systemen stond. Het bedrijf heeft beveiligingsexperts van FireEye in de arm genomen en doet verder onderzoek.

In de tussentijd raadt het bedrijf klanten die in hotels verbleven aan hun afschriften te controleren op verdachte overboekingen. Niet bekend is of er al daadwerkelijk misbruik van creditcards is gemaakt en om hoeveel klanten het zou gaan.

Hyatt heeft in totaal 627 hotels wereldwijd maar onduidelijk is of al die hotels getroffen zijn door de malware. Het is de vierde hotelketen die met creditcard-stelende malware kampt. Eerder maakten Hilton, Starwood en Trump vergelijkbare waarschuwingen bekend.

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 24-12-2015 08:2855

24-12-2015 • 08:28

55 Linkedin

Lees meer

Privacyautoriteit VK geeft hotelketen boete van 20,5 miljoen euro wegens datalek Nieuws van 30 oktober 2020
'Meer dan duizend hotels InterContinental-groep getroffen door malware' Nieuws van 19 april 2017
Beveiligingsbedrijf FireEye neemt ontdekker Russische 'staatsmalware' over Nieuws van 21 januari 2016
'Malwareaanval op Oekraïens vliegveld komt uit Rusland' Nieuws van 18 januari 2016
Ook Nederlandse Hyatt-hotels werden getroffen door malware Nieuws van 15 januari 2016
'Stroomstoring in Oekraïne werd veroorzaakt door gerichte inzet malware' Nieuws van 5 januari 2016
Hackers nemen grootste reclamepaneel van België tijdelijk over - update Nieuws van 28 december 2015
Hotelketen: we willen alleen hotspots van gasten in vergaderruimtes blokkeren Nieuws van 2 januari 2015
Google en Microsoft spreken zich uit tegen blokkeren wifi-spots door hotels Nieuws van 23 december 2014
Hotel krijgt boete voor blokkeren wifi van klanten Nieuws van 5 oktober 2014
Meer producten en artikelen
Netwerk en systeembeheer Malware

Reacties (55)

-Moderatie-faq
55
50
32
4
0
1
Wijzig sortering
celshof
24 december 2015 09:22
Dit zou het hotel wel eens duur kunnen gaan staan. Normaal gezien wil je compliant zijn aan de PCI DSS standaard (https://www.pcisecuritystandards.org/ https://en.wikipedia.org/...ry_Data_Security_Standard), zodat als er iets grondig mis gaat met betalingen, jij niet degene bent die verantwoordelijk wordt gehouden.

Ik kan me hier niet voorstellen dat ze voldoen aan requirement 3: Protect stored cardholder data. Het is te hopen voor ze dat ze een goede afspraak hebben met hun software leverancier en dat deze kapitaalkrachtig genoeg is om de claims op te kunnen vangen.
TomEngelen
@celshof24 december 2015 23:03
Hotelketens mogen tegenwoordig alleen maar de creditcard nummers bewaren en niet de autorisatie codes. Bij de incheck word er daarom een autorisatie gemaakt voor een bepaald bedrag zodat eventuele extra kosten daarop afgeboekt kunnen worden. In principe zou door deze lek alleen namen en de creditcardnummer op straat kunnen liggen, maar de autorisatie codes dus niet. Dit is naar ik aanneem zo gedaan om juist hieraan te voldoen.
AceAceAce
@celshof24 december 2015 09:32
PCI DSS audits zijn relatief vaak papierwerk en verbale gesprekken.
Of het technisch allemaal dicht zit is niet de scope van PCI DSS audits helaas.
celshof
@AceAceAce24 december 2015 10:08
De audit wel, maar als het mis gaat dan wordt er wel wat dieper gekeken of je ook wel echt aan PCI voldoet.
Een tijd geleden was er nog een bedrijf dat op papier ook alles PCI compliant ingericht zou hebben en dat bleek uiteindelijk niet het geval toen het mis ging met CC gegevens, waardoor ze goed de zak waren. Heb helaas geen link bij de hand.
Anoniem: 80487
@celshof24 december 2015 13:14
De audit wel, maar als het mis gaat dan wordt er wel wat dieper gekeken of je ook wel echt aan PCI voldoet.
Dat is dan wel mooi te laat...
Het hele nut van zo'n audit lijkt me nou net het preventieve karakter. Dus ze moeten gewoon verder gaan dan wat men "gedocumenteerd" heeft te hebben ondernomen en dit verifiëren met een security expert.
Dat is duur, maar ik vind zo'n audit wel een papieren tijger als er in beginsel niets is wat ze er van weerhoud e.e.a. te zeggen en er vervolgens eigen standaarden op na te houden.

[Reactie gewijzigd door Anoniem: 80487 op 24 december 2015 13:14]

Robbedem
@Anoniem: 8048724 december 2015 14:17
Bijna alle auditsystemen zijn papieren tijgers als er vanuit het management zo gedacht wordt. De bedoeling van de audit is natuurlijk om een bedrijf te helpen om een bepaalde filosofie goed in de praktijk te brengen, maar als het management die filosofie niet ondersteund en enkel doet alsof, krijg je dus een papieren tijger. Persoonlijk vind ik dit geen fout van het auditsysteem maar een fout van het management.
Om een audit sluitend te maken zou er zoveel meer controlerend werk verricht moeten worden dat de kostprijs een pak hoger komt te liggen. Dan worden weeral de goedbedoelende bedrijven gestraft voor iets dat een paar rotte appels mispeuterd hebben.

PS: het zou natuurlijk ook kunnen dat het beveiligingssysteem wel in orde was.

[Reactie gewijzigd door Robbedem op 24 december 2015 14:20]

CAPSLOCK2000
@Anoniem: 8048724 december 2015 19:50
Het hele nut van zo'n audit lijkt me nou net het preventieve karakter. Dus ze moeten gewoon verder gaan dan wat men "gedocumenteerd" heeft te hebben ondernomen en dit verifiëren met een security expert.
Ik hoor wel eens de vraag "Wil je dat het echt veilig is of wil je dat wij niet verantwoordelijk zijn als er iets gebeurd?". Die twee zijn niet hetzelfde.

Audits worden vaak gezien als eindpunt terwijl ze juist het begin zijn. Bedrijven werken hard om een audit te halen en denken dan "mooi, nu zijn we klaar" en hangen lui achterover. Een audit halen is echter geen garantie voor veiligheid.
Cergorach
@AceAceAce24 december 2015 09:57
Je houden aan bepaalde regeltjes betekend nog niet dat een systeem ondoordringbaar is. En dat eisen de credit card maatschappijen dan ook niet.
CH4OS
@celshof26 december 2015 15:05
Voor requirement 3 is dat natuurlijk afhankelijk hoe die malware werkt. Of dat meer op de skimming (man in the middle) wijze gaat of een andere. Bij een man in the middle is het kwaad immers al geschied voordat ke het (veilig) opslaat.

[Reactie gewijzigd door CH4OS op 26 december 2015 15:09]

einstein
24 december 2015 09:09
Het probleem hier is niet het betaalmiddel, maar de 'te infecteren' betalingssystemen. Waarom kan dat überhaupt? Standaard OS? Niet hardened? Patches? Firewall/IPS/packet inspection?

De prioriteit ligt zoals altijd verkeerd. Geld binnenhalen prima! Beveiligen? Veel te kostbaar!
Ducksy88
@einstein24 december 2015 09:25
Waarom kan dat überhaupt?
Omdat het onkraakbare systeem nog moet worden uitgevonden.
De prioriteit ligt zoals altijd verkeerd. Geld binnenhalen prima! Beveiligen? Veel te kostbaar!
Zie bovenstaand. Je hebt duidelijk geen idee hoeveel Hyatt wél in beveiliging heeft gestoken en kan dus ook niet oordelen of ze daarin gemakzuchtig zijn geweest. Je weet ook niet hoeveel resources de aanvallende partij heeft moeten gebruiken om dit te realiseren.
Cyber intelligence firm iSight Partners in late November warned merchants about a new strain of payment-card-stealing malware dubbed ModPOS that it said evades almost all security software
Tsja.... Moeilijk verdedigen tegen attacks die bijna alle security omzeilen.

Valt dat dan (mogelijk) onder een zero-day?
DJMaze
@Ducksy8824 december 2015 13:38
CC gegevens, ja ik liep er ook tegenaan.
De oplossing: Asymetrische encryptie.

Op de server heb ik een public key en lokaal een private key.
De lokale server kan alleen data downloaden.

Wie kan lokaal de CC's lezen? Alleen mensen die het wachtwoord van de private key weten.

Goed, het is dan nog steeds lokaal te kraken. Maar dan is het probleem in ieder geval geïsoleerd en niet via een publieke server.
Anoniem: 382732
@einstein24 december 2015 09:58
Je gaat er vanuit dat het van buitenaf is gedaan. Als het een inside job is, dan maken al die security zaken die je noemt niet zoveel uit.
johnkeates
@einstein24 december 2015 12:26
Meestal worden Windows-Based systemen gebruikt waar het constant exploits regent die voor doorsnee malware prima te gebruiken is, en slecht geprogrammeerde applicaties om de extra functionaliteit te verzorgen. De meeste tijd gaat vaak in de hardware zitten en dan niet eens de electronica of de firmware maar de fysieke bouw. Een standaard PC in een metalen kast met slot stoppen wordt door veel integrators als 'veilig' bestempeld terwijl dat natuurlijk een donder uit maakt. Dit gebeurt met credit card gegevens erg vaak om dat je de gegevens nodig hebt om transacties te verwerken terwijl dat met PIN & Chip niet zo is.

Apparaten die doorgaans wel goed beveiligd zijn, zijn de PIN & Chip systemen die meestal een aangepast Linux of VxWorks OS draaien met diverse tamper trips. Het enige wat je daar aan interfaces hebt is een beveiligde verbinding naar de bank en een basale verbinding naar externe apparatuur om een bedrag op te geven en een status terug te krijgen.

[Reactie gewijzigd door johnkeates op 24 december 2015 12:27]

weballey
@einstein24 december 2015 09:27
Och, best kans dat die systemen nog met windows xp embedded draaien.
analog_
@einstein24 december 2015 13:46
Omdat de meeste hotels gebruik maken voor interne betalingsverkeer van retarded ouderwetse protocollen geport van serieel naar tcp/ip zonder enige vorm van encryptie. Als je op het netwerk zit en/of de betalingsserver weet te bereiken is het kinderlijk eenvoudig.

Lees: charge to room, ik gok op een popup boetiek medewerker.

[Reactie gewijzigd door analog_ op 24 december 2015 13:50]

vanrijn
24 december 2015 08:45
Al meerdere hotelketens, zouden zij soms de zelfde (of vergelijkbare) software gebruiken? Als nog niet getroffen hotelketen zou ik toch alles grondig na laten kijken...
Rob Coops
@vanrijn24 december 2015 09:50
Op dit moment weten we nog niets eigenlijk. Het zou kunnen zijn dat de POS (Point Of Sale a.k.a. kassa) is aan gevallen die zijn vaak in veel locaties het zelfde. Het zou kunnen zijn dat het een aanval is op een gedeelde service waarbij hotels samenwerken om bijvoorbeeld fraudeurs buiten de deur te houden. Misschien is het een inside job waar een medewerker een foute USB stick in een systeem heeft gestoken of een hack vanuit een hotel kamer waar iemand wist in te breken op het interne netwerk van af het gasten net werk. Misschien is het een aanval via de payment provider waarbij Hyatt misschien helemaal geen blaam treft.
Wie weet hoelang deze software al draait misschien nog maar een dag of zo misschien al maanden.

Tot we meer weten kan ik alleen ,aar zeggen heel erg goed van Hyatt om mensen dit te laten weten.

Als nog niet getroffen hotel, keten of niet, zou ik ten alle tijden een regelmatige check op mijn systemen uit laten voeren simpelweg omdat als mensen het gevoel hebben niet veilig bij jouw te kunnen verblijven je een heel veel groter probleem hebt dan ietwat hogere kosten voor de software.
My Tec Master
24 december 2015 09:22
Creditcards zijn net zo veilig als pin passen, eigenlijk zelfs veiliger. Ook Maestro kan zonder code betalingen uitvoeren net als de mastercard/visa. Echter is je pin transactie niet verzekerd maar de creditcard meestal wel. Als iets juist veilig is voor online aankopen is het een creditcard ivm de aankoopverzekering. Ideal?--> geld kwijt in een voorval zoals V&D, Paypal--> erg lange disputes. Wordt je kaart gejat dan blokkeer je hem, dat geld trouwens ook voor alle andere betaalmethoden.

In het geval van Hyatt, er zat blijkbaar een hiaat in de de systemen. Erg slecht voor een grote keten.

Edit: overigens is het niet veilig genoeg? betaal dan cash, bijvoorbeeld in Napels ga je niet met je creditcard/pinpas betalen.

[Reactie gewijzigd door My Tec Master op 24 december 2015 09:40]

Cergorach
@My Tec Master24 december 2015 10:08
Het is niet veiliger, maar het is verzekerd, je verplaatst het probleem dus alleen maar. Cash is op een andere manier onveilig, namelijk een overval.

Voor zoveel mogelijk transacties gebruik ik Paypal als dat kan, achter mijn Paypal account hangt een creditcard die verzekerd is. De cc gaat de deur niet uit en kan niet via het paypal account gestolen worden, plus de luxe van verzekering. In de afgelopen 15 jaar slechts één keer hoeven gebruiken (verzekering).
My Tec Master
@Cergorach24 december 2015 12:10
je hebt gelijk, maar het is wel veiliger voor mij als klant. De Paypal + creditcard is een goede oplossing, ik heb nog steeds mijn bankrekening gekoppeld en ben daar toch niet zo blij mee. Veiligheid is maar relatief, ligt puur aan hoe je er mee omgaat en aan de winkels waar je betaald. Ik heb een creditcard nooit lang trouwens, vraag om de 1,5 jaar een nieuwe aan puur door slijtage (en nee zo vaak gebruik ik hem niet, maar wel bij me). Als je veel buiten Nederland bent kan je helaas gewoon niet zonder, maestro heeft wel eens problemen. Gewoon altijd je betalingsmethodes in de gaten houden en gebruik je iets niet, zeg het dan op!
Dekar
24 december 2015 09:04
Wat ik mij afvraag is of het hotel aansprakelijk kan worden gesteld voor eventuele schade. Het lijkt me stug dat een creditcardmaatschappij of de gebruiker voor de kosten op moet draaien.
Cergorach
@Dekar24 december 2015 10:03
De creditcardmaatschappij, tenzij Hyatt zich niet aan de regels qua beveiliging heeft gehouden, wat ik in dit geval betwijfel. Die 3.5% transactie kosten die Hyatt al de afgelopen 50 jaar betaald voor de creditcard transacties is niet alleen pure winst voor de creditcardmaatschappij, maar dient ook als een stukje verzekering voor dergelijke incidenten.
Anoniem: 503755
24 december 2015 12:27
Als het van Micros Fidelio komt (zeer dominante speler - heeft enkele jaren geleden hier bij ons nog Torex overgenomen) dan is voor mij alvast een vaststaand feit, dat deze malware, niveau kleuterschool is.

Ik heb verschillende audits gedaan van dit soort van omgevingen en wat ik toen heb gezien tart zowat elke verbeelding:

-Geen AV op POS (anders issues met stabiliteit)
-Alles onder een Administrator account met full access rights.
-Windows zonder updates
-Ordertransacties tussen backend en POS = flat text (ik kon met een MITM de prijs op de kassa aanpassen)
-Zwakke of geen wachtwoorden.
-Een vehikel aan code in de grootorde 'best effort'
-En daar hangt dan een CZAM van Atos aan (met standaard beheer login hardcoded toetscombo)

Het recept: Overal de laatste euro willen afknijpen, Niet investeren in mensen maar in winst.

Het is op zich een half mirakel dat dit zo weinig gebeurd (alhoewel ik denk dat dit frequent gebeurd maar nooit pers haalt)

Zoals altijd gaat alles en iedereen bovenstaande ontkennen en alles afketsen met wat slap geleuter.

En zo dekt de ene de andere af, en blijft alles bij het oude.


Edit: Mijn vermoeden lijkt nog te kloppen ook:
http://www.hospitalitynet.org/news/4015330.html

[Reactie gewijzigd door Anoniem: 503755 op 24 december 2015 13:21]

celshof
@Anoniem: 50375524 december 2015 12:45
Hoe krijg je het dan in 's hemelsnaam voor elkaar om je compliancy te claimen? :?
http://www.micros-fidelio.../General-Information.aspx

Je lijstje is echt schokkend en ik kan me bijna niet voorstellen dat er bedrijven hier zijn die hun POs netwerk zo open en bloot hebben liggen.
Anoniem: 503755
@celshof24 december 2015 13:20
Ik begeef met op heel glad ijs (er is wel meer aan de hand met payments tegenwoordig) maar er zijn een aantal redenen:

Ja er is PCI/DSS/HIPAA/ISO27001 ... dat zijn degelijke standaarden. Er hangt ook een behoorlijk prijskaartje aan vast, om ze te implementeren, maar vooral om ze te bewaken.

The fine print illustreert de knoop:

Compliant is een momentopname en mits wat handigheidjes door sommigen gekend, het is ook een 'kleine' wereld, kan je dat blijven zonder het te zijn. Het begint met het polijsten van de resources (lees: zet dat en dat en dat af, haal dat en dat en dat eruit, ...., bescherm het geheel door 'intellectual property' en dat compiant zijn is plots een pak makkelijker.

Daarnaast (en dat is ook zeer handig) is er altijd sprake van een 'maatwerk' en 'gedeelde' verantwoordelijkheid. Beiden goed genoeg om altijd een reden te vinden om de schuld op iets anders af te wentelen, maar veelal is dat zelf niet nodig. Klant en leverancier zouden immers economische schade ondervinden.

Er heerst een soort van Omerta rond deze dingen, deels afgedwongen door non disclosures of door genoeg te betalen tot je zwijgt. Iedereen die de held zou willen uithangen, gaat zeer snel merken hoe efficiënt sommige problemen kunnen worden opgelost.

Money talks.
PcDealer
24 december 2015 09:26
Minimaal bijna een maand geleden ontdekt en nu pas wereldkundig gemaakt. Er is toch wel een wet die disclosure op een eerder moment gebied?

Houd vooral je afschriften in de gaten...
Payment card rules generally provide that cardholders are not responsible for unauthorized charges that are timely reported.
Hyatt Hotels Corporation, headquartered in Chicago, is a leading global hospitality company with a proud heritage of making guests feel more than welcome.
Niet alleen de gasten...

[Reactie gewijzigd door PcDealer op 24 december 2015 09:28]

Anoniem: 202103
24 december 2015 10:03
Hyatt is niet de enige hotelketen getoffen door malware op hun betaalsystemen. Recentelijk (september) was ook Hilton in het nieuws (Kassensysteme der Hilton-Kette in den USA gehackt). Krebs on Security maakt melding van nog meer getroffen bedrijven in de hospitality-industrie.
dollyking
24 december 2015 10:41
Ik heb al meer dan 10 jaar meerdere zakelijke cc's. Ik reis enorm veel en in de meest obscure oorden betaal ik op deze manier.
er zijn weken bij met 40 a 60 transacties, nog nooit heb ik problemen gehad.
de credit card bedrijven bellen me ook niet meer. Dat vind ik dan wel weer wat zorgelijker.
Auredium
24 december 2015 08:59
Creditcards...arg. Je hoort dat ook heel vaak in de VS en dan krijg je twee jaar 'creditmonitoring' terwijl je gegevens levenslang zijn gestolen. Goed je kunt je creditcard laten blokkeren maar das dan ook alles.
loki504
@Auredium24 december 2015 09:25
en bij de Nederlandse bank krijg je 9/10 keer niets. zijn je gegevens gestolen. je geld is weg. en blijft met lege handen achter. dan verkies ik toch liever CC boven onze bank
mrsar
@Auredium24 december 2015 12:21
Ik krijg hier in NL gewoon een nieuwe CC incl nieuw nummer erop,daarnaast zijn ze behoorlijk snel in reageren op charges die niet kloppen,laatst kreeg ik nog een belletje of ik in de VS een aankoop had gedaan,wat niet het geval was,want gewoon thuis,waarna mijn CC werd geblokkeerd en deze charge ongedaan werd gemaakt (in paar dagen nieuwe CC in huis) eventueel even vervelend die paar dagen maar kost mij verder niets.

vergeet ook niet dat je een CC nummer hebt met daarbij de cvc code die dus ook wijzigt dus als deze combi gestolen is kan men er niets meer mee na blokkering ook al wordt ooit weer die CC nummer weer opnieuw gebruikt,het fijne van de CC is verder gewoon dat er weinig gezeik is over dit soort ongein terwijl bij bv skimming uiteindelijk jij nog steeds diegene bent die moet bewijzen dat je niet in oekraine was waar je pas gebruikt werdt ;)
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee