Ολοένα και γιγαντώνεται το φαινόμενο των κυβερνοεπιθέσεων με στόχο ξενοδοχεία και πελάτες, με τους χάκερς να χρησιμοποιούν το extranet της Booking.com και την πλατφόρμα -λίαν επιειεκώς- να αδιαφορεί.
Πριν από ένα δεκαπενθήμερο, ο Markus Luthe, ιδιοκτήτης του blogpost “Phisherman’s Friend” αναφέρθηκε στο blogpost του στις ψεύτικες κρατήσεις και απάτες πληρωμών γύρω από το εσωτερικό σύστημα επικοινωνίας της Booking.com. Έκτοτε, έχει λάβει έναν τεράστιο αριθμό αναφορών από επηρεαζόμενους ξενοδόχους, που υποδεικνύουν συστηματική εγκληματικότητα και υψηλό επίπεδο ζημίας.
Ιδιαίτερα απογοητευτικές είναι οι περιπτώσεις στις οποίες το ξενοδοχείο έχει ενδείξεις για ψεύτικες κρατήσεις (σχετικά μεγάλη διάρκεια διαμονής, υψηλή αξία κράτησης) και ζητάει εγκαίρως από την Booking.com να ελέγξει την κατατεθείσα πιστωτική κάρτα. Τις περισσότερες φορές το αποτέλεσμα είναι το ξενοδοχείο να παραμένει με την ψεύτικη κράτηση μετά από ένα ημιτελές και επισφαλές “μπρος-πίσω” στην αλληλογραφία με την Booking.com, η οποία προσφέρεται να εισπράξει την πληρωμή, έναντι πρόσθετης αμοιβής περίπου 1,5%.
Ξανά και ξανά, τα ξενοδοχεία αναφέρουν ότι δεν λαμβάνουν κανένα σχόλιο από την Booking.com σχετικά με περιστατικά “phishing”. Από τους απατεώνες, ωστόσο, λαμβάνουν. Συχνά μέσω WhatsApp μέσω ολοένα και νέων τηλεφωνικών αριθμών από τη Μεγάλη Βρετανία ή τις ΗΠΑ, βάσει των οποίων οι επιτήδειοι συστήνονται ως υπάλληλοι της Booking.com, σε μια προσπάθεια να αποσπάσουν δεδομένα.
Ακόμα πιο δυσάρεστες για τα ξενοδοχεία είναι οι προσπάθειες των πελατών που έχουν υποστεί ζημιά να επικοινωνήσουν μαζί τους. Ένα ξενοδοχείο έγραψε: “Η ρεσεψιόν και οι κρατήσεις μας κατακλύστηκαν από τηλεφωνήματα και μηνύματα ηλεκτρονικού ταχυδρομείου από ανήσυχους επισκέπτες. Η απενεργοποίηση της επικοινωνίας με τους επισκέπτες στο extranet της Booking.com βοήθησε, μετά από δύο εβδομάδες αναμονής ενεργοποιήσαμε ξανά την επικοινωνία και αμέσως μετά από λίγες ώρες αρχίσαμε να λαμβάνουμε ξανά ερωτήματα από τους επισκέπτες. Αυτή τη στιγμή, η επικοινωνία είναι και πάλι απενεργοποιημένη…”.
Μια ιδιαίτερα κραυγαλέα περίπτωση αναφέρθηκε από ένα ξενοδοχείο πόλης την περασμένη εβδομάδα: Και για τις 800 (!) κρατήσεις που είχαν γίνει εκείνη τη στιγμή, επικοινώνησαν από το extranet κρατήσεων και τους ζητήθηκε να δώσουν τα στοιχεία της πιστωτικής τους κάρτας (και πάλι) μέσω ενός συνδέσμου, διότι διαφορετικά η κράτηση θα έληγε. Το τηλέφωνο του ξενοδοχείου δεν σταμάτησε να χτυπά για δύο ώρες και περίπου 100 κρατήσεις ακυρώθηκαν. Οι πιστωτικές κάρτες των πελατών είχαν χρεωθεί, μόνο που σε ορισμένες περιπτώσεις η τράπεζα είχε μπλοκάρει την πληρωμή.
Το ξενοδοχείο ήταν σε επαφή με την Booking.com για περισσότερες από επτά ώρες, αλλά η υποστήριξη ήταν ελλιπής και αδιάφορη, μέχρι του σημείου να ειπωθεί ότι δεν υπήρχαν μηνύματα ηλεκτρονικού “ψαρέματος”. Έτσι, το ξενοδοχείο άρχισε να επικοινωνεί και να προειδοποιεί κάθε επισκέπτη μέσω του extranet της Booking.com, αφού δεν υπάρχει άλλο διαθέσιμο κανάλι επικοινωνίας. Μόνο αργά το βράδυ η πλατφόρμα θυμήθηκε να στείλει ένα μήνυμα ηλεκτρονικού ταχυδρομείου σε όλους τους πελάτες. Οι υπάλληλοι του ξενοδοχείου ισχυρίζονται ότι παρατήρησαν ότι η προειδοποίησή τους προς τους επισκέπτες σχολιάστηκε από τον χάκερ, με τον υπαινιγμό ότι το μήνυμα του ξενοδοχείου ήταν ψεύτικο…
Εάν αυτό δεν συνιστά αποτυχία της πύλης κρατήσεων που κυριαρχεί στην αγορά, τι είναι….
Είναι αδιαμφισβήτητο ότι η Booking.com έχει ειδικές υποχρεώσεις επιμέλειας και λήψης διορθωτικών μέτρων, αφού είναι αυτή που αναγκάζει τους χρήστες, τους πελάτες των ξενοδοχείων να επικοινωνούν αποκλειστικά μέσω του δικού της extranet.
Ανεξάρτητα από το πώς οι απατεώνες απέκτησαν τα δεδομένα σύνδεσης των ξενοδοχείων, ο “μητρικός” χειρισμός του θέματος και η έλλειψη άμεσων και αποτελεσματικών διορθωτικών μέτρων από την Booking.com θα πρέπει σε κάθε περίπτωση να συνιστά παράβαση καθήκοντος και αντίστοιχη ευθύνη, εκτιμούν στελέχη της ξενοδοχειακής βιομηχανίας.
Εάν οι απατεώνες εξακολουθούν να είναι σε θέση να καταλαμβάνουν το κανάλι επικοινωνίας και να επικοινωνούν με τον επισκέπτη, ακόμη και μετά την αναφορά των επιθέσεων “phishing” από τα ξενοδοχεία, τότε αυτό αποκαλύπτει έλλειψη επαγγελματισμού εκ μέρους της Booking.com.
Και πώς μπορεί ένα και μόνο ξενοδοχείο να επικοινωνήσει με εκατοντάδες επισκέπτες ταυτόχρονα μέσω της πλατφόρμας επικοινωνίας της Booking.com, ακόμη και με αίτημα (επαν)αποκάλυψης δεδομένων πληρωμής μέσω ενός συνδέσμου;
Η Booking.com ισχυριζόταν πάντα ότι αυτός ακριβώς είναι ο λόγος για τον οποίο πρέπει να έχει πρόσβαση στην επικοινωνία μεταξύ ξενοδοχείου και επισκεπτών ανά πάσα στιγμή, προκειμένου να αποτρέψει “δόλιες συμπεριφορές”. Τα επηρεαζόμενα ξενοδοχεία θα πρέπει να τεκμηριώνουν κάθε μεμονωμένο περιστατικό όσο το δυνατόν καλύτερα, ιδίως την παράλειψη λήψης διορθωτικών μέτρων ή τη διστακτική ή καθυστερημένη λήψη διορθωτικών μέτρων από την Booking.com. Τα ξενοδοχεία μπορούν να επικοινωνήσουν με τα κεντρικά σημεία επαφής της αστυνομίας για το έγκλημα στον κυβερνοχώρο για τις επιχειρήσεις. Εάν οι θιγόμενοι πελάτες απευθύνονται στο ξενοδοχείο με αξιώσεις αποζημίωσης, το ξενοδοχείο θα πρέπει να ζητήσει νομική βοήθεια.
