La plate-forme de gestion hôtelière Otelier a subi une violation de données après que des acteurs de la menace ont violé son stockage cloud Amazon S3 pour voler des millions d’informations personnelles et de réservations de clients pour des marques hôtelières bien connues comme Marriott, Hilton et Hyatt.
La violation aurait eu lieu pour la première fois en juillet 2024, avec un accès continu jusqu’en octobre, les acteurs de la menace affirmant avoir volé près de huit téraoctets de données des compartiments Amazon AWS S3 d’Otelier.
Dans une déclaration à Breachtrace , Otelier a confirmé le compromis et a déclaré qu’il communiquait avec les clients concernés.
« Notre priorité absolue est de protéger nos clients tout en améliorant la sécurité de nos systèmes pour éviter de futurs problèmes », a déclaré Otelier à Breachtrace .
« Otelier a été en communication avec ses clients dont les informations étaient potentiellement impliquées. En réponse à cet incident, nous avons embauché une équipe d’experts en cybersécurité de premier plan pour effectuer une analyse médico-légale complète et valider nos systèmes. »
« L’enquête a déterminé que l’accès non autorisé avait pris fin. Afin d’éviter qu’un incident similaire ne se reproduise à l’avenir, Otelier a désactivé les comptes concernés et continue de travailler à l’amélioration de ses protocoles de cybersécurité. »
Otelier, anciennement connu sous le nom de MyDigitalOffice, est une solution de gestion hôtelière basée sur le cloud utilisée par plus de 10 000 hôtels dans le monde entier pour gérer les réservations, les transactions, les rapports nocturnes et la facturation.
La société est ou a été utilisée par de nombreuses marques hôtelières bien connues, notamment Marriott, Hilton et Hyatt, dont les données sont présentes dans les informations volées.
Violé par des informations d’identification volées
Les acteurs de la menace à l’origine de la violation d’Otelier ont déclaré à Breachtrace qu’ils avaient initialement piraté le serveur Atlassian de l’entreprise en utilisant le login d’un employé. Ces informations d’identification ont été volées par des logiciels malveillants voleurs d’informations, qui sont devenus le fléau des réseaux d’entreprise au cours des dernières années.
Lorsque Breachtrace a demandé à Otelier de confirmer cette information, un représentant de l’entreprise a déclaré qu’il ne pouvait pas partager d’autres commentaires sur l’incident. Cependant, Breachtrace a trouvé sur la plate-forme de renseignements sur les menaces Flare Otelier des informations sur les employés qui avaient été volées par le logiciel malveillant infostealer.
Les auteurs de la menace affirment avoir utilisé ces informations d’identification pour récupérer des tickets et d’autres données, qui contenaient d’autres informations d’identification pour les compartiments S3 de l’entreprise.
En utilisant cet accès, les pirates ont affirmé avoir téléchargé 7,8 To de données à partir du stockage cloud Amazon de l’entreprise, y compris des millions de documents appartenant à Marriott qui se trouvaient dans des compartiments S3 gérés par Otelier. Ces documents comprennent des rapports d’hôtel de nuit, des audits de quart et des données comptables.
Marriott a confirmé à Breachtrace que la cyberattaque d’Otelier les avait touchés et a suspendu les services automatisés pendant qu’Otelier termine son enquête. L’entreprise souligne qu’aucun de ses systèmes n’a été piraté lors de cette attaque.
« Une fois que nous avons été informés de cet incident impliquant Otelier, nous avons immédiatement contacté le fournisseur, qui travaille avec de nombreuses sociétés hôtelières, et confirmé qu’il travaillait avec des experts en cybersécurité pour enquêter sur un incident de sécurité qui a eu un impact sur leurs systèmes », a déclaré un porte-parole de Marriott à Breachtrace .
« Marriott a également pris les précautions appropriées, notamment en suspendant les services automatisés fournis par Otelier jusqu’à la fin de leur enquête, et ces services restent suspendus. »
L’auteur de la menace affirme avoir tenté d’extorquer Marriott, pensant que les compartiments S3 leur appartenaient, et a laissé des notes de rançon demandant un paiement en crypto-monnaie pour ne pas divulguer les données. Cependant, aucune communication n’a été faite et ils ont déclaré avoir perdu l’accès en septembre après la rotation des informations d’identification.
Alors que Marriott a déclaré à Breachtrace qu’il n’y avait aucune indication que des informations sensibles aient été volées lors de la violation, des échantillons des données volées partagées avec Breachtrace et Have I Been Pwned’s Troy Hunt contiennent des informations personnelles sur les clients de l’hôtel.
Les petits échantillons vus par Breachtrace comprennent un large éventail de données, y compris les réservations des clients de l’hôtel, les transactions, les courriels des employés et d’autres données internes.
Certaines des informations personnelles exposées incluent les noms, adresses, numéros de téléphone et adresses e-mail des clients de l’hôtel.
Les données volées comprennent également des informations et des adresses électroniques relatives à Hyatt, Hilton et Wyndham. Breachtrace a contacté Hyatt et Hilton au sujet de la violation, mais n’a pas reçu de réponse.
Troy Hunt a déclaré à Breachtrace qu’il avait reçu un ensemble complet de données, la table des réservations contenant 39 millions de lignes et une table des utilisateurs avec 212 millions.
Hunt dit que malgré le grand ensemble, il a trouvé 1,3 million d’adresses e-mail uniques, car beaucoup sont répétées.
Les informations personnelles exposées sont ajoutées à Have I Been Pwned, permettant à quiconque de vérifier si son adresse e-mail figure dans les données exposées.
La bonne nouvelle est que les mots de passe et les informations de facturation ne semblent pas avoir été volés lors de l’attaque, mais les auteurs de menaces pourraient toujours utiliser ces informations dans des attaques de phishing ciblées.
Par conséquent, vous devez être à l’affût des courriels suspects usurpant l’identité de marques hôtelières touchées par cette violation.