- A violação da Marriott expôs 383 milhões de registros de hóspedes. A hospitalidade é um alvo prioritário de atores estatais e crime organizado
- Os hotéis operam quatro superfícies de ataque de alto valor simultaneamente: PMS, sistemas POS, WiFi de hóspedes e plataformas de reservas OTA
- A LGPD exige notificar sua autoridade supervisora dentro de 72 horas após descobrir uma violação de dados pessoais
- Armazenar digitalizações de passaportes além da finalidade do check-in é quase certamente ilegal
- O ransomware é a ameaça dominante. O ataque à MGM em 2023 interrompeu operações em mais de 30 propriedades e custou mais de 100 milhões de dólares
Por que a hospitalidade é um alvo persistente
A violação da Marriott Starwood, divulgada em 2018, expôs até 383 milhões de registros de hóspedes acumulados ao longo de quatro anos. Uma segunda violação da Marriott em 2020 afetou 5,2 milhões de hóspedes. A MGM Resorts sofreu um ataque de ransomware em 2023 que derrubou sistemas de reservas, cartões-chave de quartos, caça-níqueis e ATMs em múltiplas propriedades, com perdas relatadas na casa dos centenas de milhões. Esses são os incidentes que chegaram às manchetes. Dezenas de grupos hoteleiros menores enfrentam violações todos os anos que não recebem nenhuma cobertura.
O padrão nesses incidentes é consistente: os atacantes visam a hospitalidade porque a recompensa é alta (dados de cartão de pagamento combinados com identificadores pessoais), as defesas são frequentemente fracas (infraestrutura de TI fragmentada, sistemas legados e alta rotatividade de pessoal que dificulta a manutenção de treinamentos de segurança) e a pressão operacional para permanecer online é extrema. Um hospital pode desativar um sistema durante um incidente; um hotel com 500 hóspedes fazendo check-in não pode.
As quatro superfícies de ataque mais importantes
Os ambientes de TI hoteleiros são incomumente complexos para seu tamanho. Uma única propriedade normalmente executa um Sistema de Gestão de Propriedades, um sistema de Ponto de Venda, um mecanismo de reservas, um gerenciador de canais, uma plataforma de reservas de restaurante, WiFi para hóspedes, controle de acesso para chaves de quartos e sistemas de back-office financeiros e de RH. Cada um desses é um ponto de entrada potencial e, na maioria dos hotéis, eles estão inadequadamente segmentados uns dos outros.
Sistemas de Gestão de Propriedades
O PMS é o núcleo das operações hoteleiras. Ele contém perfis de hóspedes, histórico de reservas, tokens de cartão de pagamento, atribuições de quartos e registros de check-in/check-out. Plataformas PMS como Opera e MICROS são amplamente implantadas, frequentemente em versões com anos de atraso em patches de segurança. Atacantes que comprometem o PMS têm acesso ao banco de dados completo de hóspedes. Em vários incidentes documentados, atacantes mantiveram acesso a ambientes PMS hoteleiros por mais de um ano antes da detecção.
Os controles de acesso nos sistemas PMS são frequentemente inadequados. Credenciais de administrador compartilhadas, ausência de autenticação multifator e permissões amplas de usuário em toda a equipe da recepção são comuns. A equipe da recepção raramente precisa de acesso a registros históricos de pagamento de hóspedes.
Sistemas de Ponto de Venda
Ataques de malware em POS nos restaurantes, bares e spas de hotéis visaram marcas incluindo Hilton, Hyatt e Mandarin Oriental. O método de ataque é consistente: malware instalado no terminal POS captura dados do cartão no momento do deslizamento ou inserção, antes que chegue ao processador de pagamento. Esses ataques persistem por meses porque o sistema POS parece funcionar normalmente durante todo o período.
Sistemas POS que não estão em um segmento de rede isolado criam um problema maior. Um atacante que compromete um terminal de bar pode usá-lo como ponto de pivô para a rede mais ampla do hotel. A segmentação de rede entre POS, PMS e WiFi de hóspedes é o controle técnico mais impactante que os hotéis podem implementar.
WiFi de hóspedes
O WiFi de hóspedes não é apenas um risco para os hóspedes. Na maioria dos hotéis, a rede de hóspedes e a rede corporativa não estão adequadamente separadas. Um hóspede que lança um ataque pelo WiFi do hotel, ou um atacante que compromete o dispositivo de um hóspede e o usa como pivô, às vezes pode alcançar sistemas internos do hotel diretamente. Esse não é um risco teórico: grupos de ameaças focados em hospitalidade visam especificamente propriedades onde a segmentação de rede é fraca.
A solução não é complicada, mas requer arquitetura deliberada. O WiFi de hóspedes deve ser totalmente isolado, sem rota para sistemas internos. O fato de um hóspede poder acessar a internet de seu quarto não requer nenhuma conexão com a rede interna do hotel.
Plataformas de reservas e integrações com OTAs
Os hotéis normalmente recebem reservas por múltiplos canais: seu próprio site, Booking.com, Expedia e outras agências de viagens online. Cada uma dessas integrações é uma conexão de API que processa dados de hóspedes. Comprometer a API de reservas de um hotel tem sido usado para coletar dados de reservas em escala, incluindo nomes, endereços de e-mail, números de telefone e, em alguns casos, detalhes parciais de cartão de pagamento.
Ataques de phishing direcionados à equipe de recepção frequentemente se passam por Booking.com ou outras OTAs. A equipe recebe uma mensagem que aparenta ser da plataforma pedindo que faça login para resolver uma reclamação de hóspede. O roubo de credenciais que se segue dá aos atacantes acesso direto à conta de gestão OTA do hotel e, às vezes, ao próprio sistema de reservas.
Obrigações da LGPD que os hotéis frequentemente ignoram
Um hotel que opera no Brasil é um controlador de dados sob a LGPD para cada dado de hóspede que coleta. Isso inclui dados coletados por sistemas de reservas de terceiros em seu nome: você permanece o controlador e o terceiro é seu operador de dados. Você precisa de Acordos de Processamento de Dados com cada plataforma que lida com dados de hóspedes: seu fornecedor de PMS, seu gerenciador de canais, seu sistema de reservas de restaurante e cada OTA com a qual você trabalha.
A retenção é a área que a maioria dos hotéis gerencia pior. Registros de hóspedes, incluindo tokens de cartão de pagamento, são mantidos indefinidamente por rotina. A legislação de proteção de dados exige que os dados pessoais sejam mantidos apenas pelo tempo necessário para o propósito para o qual foram coletados. Para a maioria dos dados transacionais de hóspedes, é necessária uma janela de retenção definida com exclusão automatizada. Os dados do programa de fidelidade têm regras diferentes, mas mesmo esses não são indefinidos.
Se uma violação expuser dados pessoais de hóspedes, você tem 72 horas para notificar sua autoridade supervisora. Esse prazo começa a partir do momento em que você toma conhecimento da violação, não quando termina a investigação. Hotéis sem um plano de resposta a incidentes que inclua uma etapa de notificação regulatória perderão esse prazo. As multas por notificação tardia são separadas e adicionais às multas pela falha de segurança subjacente.
Digitalizações de passaporte e documentos de identidade criam uma obrigação específica. Muitos hotéis fotografam ou copiam passaportes no check-in. Um passaporte digitalizado é um documento altamente sensível. Se você os coleta, precisa de uma base legal, um período de retenção declarado e armazenamento seguro. Manter digitalizações de passaportes em uma pasta compartilhada no computador da recepção, o que é comum, não satisfaz nenhum desses requisitos.
Como é uma linha de base de segurança credível para hotéis
Os controles a seguir são alcançáveis para qualquer grupo hoteleiro, independente do tamanho. Nenhum requer infraestrutura de nível empresarial. Todos abordam os padrões de ataque reais observados em violações na hospitalidade.
Hotéis que implementaram esses seis controles podem demonstrar uma linha de base de segurança credível para reguladores e seguradoras quando ocorre um incidente. Na hospitalidade, as violações acontecem regularmente. A diferença está na rapidez com que você as contém e no que você pode documentar.
Os requisitos do PCI DSS para segurança de cartão de pagamento são mantidos pelo PCI Security Standards Council. Os relatórios anuais de panorama de ameaças da ENISA, cobrindo padrões de ataque específicos por setor, estão disponíveis em enisa.europa.eu.