Le mot de passe remarquablement faible qu’une paire de pirates informatiques a utilisé pour paralyser le système de réservation de chambres de Holiday Inn pendant une semaine est la dernière preuve soutenant une action en justice concernant les contrôles technologiques laxistes de l’entreprise, affirment les franchisés.
Un couple du Vietnam a déclaré à la BBC ce week-end qu’ils avaient attaqué le système de réservation en ligne du propriétaire de Holiday Inn, InterContinental Hotels Group (IHG), en obtenant son mot de passe, Qwerty1234, qui, en plus d’être facile à deviner, était largement partagé dans toute l’entreprise.
«Le nom d’utilisateur et le mot de passe du coffre-fort étaient disponibles pour tous les employés, de sorte que 200 000 employés pouvaient voir. Et le mot de passe était extrêmement faible », a déclaré le couple à la BBC dans une interview.
L’attaque a empêché le géant de l’hôtellerie de réserver en ligne pendant plusieurs jours la semaine dernière, entraînant une forte baisse du taux d’occupation. Les clients n’étaient pas non plus en mesure de réserver des chambres sur des sites tiers tels qu’Expedia et Booking.com.
Seul le service intermittent est revenu pendant la seconde moitié de la semaine dernière dans de nombreux Holiday Inn et, lundi, le système de réservation était de nouveau opérationnel, a déclaré le franchisé Vimal Patel au Post.
“Ces pirates n’étaient pas des pros et ils étaient toujours capables de faire des dégâts”, a déclaré Patel. “Le mot de passe boiteux utilisé est complètement à l’opposé des exigences de mot de passe des utilisateurs de l’hôtel lorsque nous devons accéder à notre propre système.”
Le 15 septembre, les franchisés Holiday Inn ont intenté une action en justice devant le tribunal de district américain d’Atlanta contre IHG, affirmant qu’il n’avait pas “adopté de mesures de sécurité des données raisonnables qui empêcheraient et détecteraient l’accès non autorisé à leurs bases de données hautement sensibles”.
Les détails de l’attaque, qui ont été appris après le dépôt de la plainte, renforcent encore l’affaire qui demande le statut de recours collectif, selon Patel, un plaignant qui possède plusieurs des 552 Holiday Inn aux États-Unis.
Les franchisés Holiday Inn paient 16,40 $ par mois et par chambre à IHG dans le cadre des frais de technologie, indique le procès. Dans certains cas, les frais peuvent également être calculés sur la base d’un pourcentage spécifique des revenus bruts de la chambre, indique le procès. Cette redevance est généralement majorée de 2 % chaque année.
“De toute évidence, tous les frais de technologie qui nous ont été facturés n’ont pas été utilisés pour protéger les franchisés”, a déclaré Patel.
“Les défendeurs avaient les ressources nécessaires pour empêcher une violation et ont fait des dépenses importantes pour commercialiser leurs hôtels et leurs services d’accueil, mais ont négligé d’investir de manière adéquate dans la sécurité des données, malgré le nombre croissant de violations de données bien médiatisées affectant l’hôtellerie et les industries similaires”, a déclaré le costume allègue.
Ce n’est pas la première violation de données de Holiday Inn.
«En mai 2017, un recours collectif a été intenté contre IHG par une catégorie de consommateurs alléguant que des normes de sécurité des données laxistes ont conduit des pirates à accéder à des informations de paiement sensibles, notamment des numéros de carte de crédit, des dates d’expiration, des codes de vérification et des noms de titulaires de cartes de débit ou de crédit utilisées. à [more than 1,000] hôtels », dit le costume
Il y a eu l’approbation finale d’un règlement collectif pour cette poursuite le 2 septembre 2020.
“Nous avons donné la priorité à la récupération de nos canaux de réservation et de nos systèmes générateurs de revenus et avons pu les remettre en service en peu de temps”, a déclaré un porte-parole d’IHG à The Post. « Nos mesures de sécurité suite à l’activité non autorisée dans nos systèmes technologiques se poursuivent. Nous travaillons en étroite collaboration avec nos fournisseurs de technologie et des spécialistes externes ont également été engagés pour enquêter sur l’incident. À l’heure actuelle, nous n’avons identifié aucune preuve d’accès non autorisé aux données des clients. Nous restons concentrés sur le soutien de nos hôtels et de nos propriétaires.
“Nous ne sommes pas en mesure de fournir plus de détails sur les litiges en cours.”
/images/57812b6d/6b51/4c26/bc18/5adcbf6b01e6.jpg?fit=300%2C300&ssl=1)
