Vazamento de Dados: Como funcionários da indústria hoteleira têm lucrado com os dados pessoais de seus clientes

Entre os problemas relacionados à segurança de dados pessoais de clientes em hotéis, estão não só o transtorno com cartões de crédito, mas também os ataques intencionais de engenheiros sociais. Apesar de especialistas em segurança da informação sempre alertarem sobre os acontecimentos relacionados ao roubo de informações pessoais, a maioria não se preocupa sobre as regras elementares desta área. Como Diretor da SearchInform, companhia que há mais de 20 anos desenvolve e fornece soluções para a proteção dos negócios em cerca de 16 países, constato surpreso que a participação de empresas hoteleiras em nossa carteira de clientes é de apenas 0,5%, ou seja, dos mais de 2 mil clientes, apenas oito são hotéis, pousadas e alojamentos. Para efeito de comparação, outras empresas que oferecem serviços semelhantes, também apresentam números baixos de clientes nesta área, cerca de 1 a 3%.

Normalmente, não hesitamos em fornecer informações pessoais à agência de viagens e permitir a realização de cópias de nosso passaporte durante o check-in em um hotel. Contudo, em uma rede hoteleira, na melhor das hipóteses, pode haver apenas um administrador de sistemas, já que em grande parte das empresas deste ramo, não existe regulamentos que exijam que os funcionários garantam a confidencialidade dos dados do cliente, e quando não há responsabilidade, a tentação de se aproveitar dessas informações para interesses próprios aumenta substancialmente.

Vazamento de dados do setor hoteleiro

Para avaliar a escala do problema, em janeiro de 2018 foi publicada uma lista de vazamentos ocorridos no setor hoteleiro. O primeiro deles foi uma multa aplicada ao hotel Hilton no valor de US$ 700 mil, o segundo um vazamento de dados na rede hoteleira Hyatt em 11 países do mundo, e o terceiro, um vazamento de informações por culpa de uma organização terceirizada que fornecia serviços de reserva para empresas como Hard Rock Hotels & Casinos, Four Seasons Hotels and Resorts, Trump Hotels, entre outras.

Nossos clientes compartilharam histórias reais de fraudes e negligência com cópias digitalizadas de passaportes em hotéis. Um deles enfrentou a tarefa de identificar esquemas fraudulentos nos procedimentos de check-in do local. Deste modo, juntamente com as políticas que permitem a identificação de fraudadores, foram criadas regras para o monitoramento da movimentação de digitalizações de passaportes no sistema DLP. O funcionário responsável pela segurança da informação ficou surpreso quando o sistema descobriu o envio sistemático de digitalizações para um e-mail externo. Assim, constatou-se que uma funcionária da recepção vendia as informações em sites especializados, e ao final, a mesma foi afastada do cargo.

Casos típicos

As cópias digitalizadas de documentos, geralmente são usadas para fraudes de crédito, verificação de identidade em vários sites e para chantagem de uma pessoa em particular. Com um de nossos clientes aconteceu a seguinte situação: cópias de passaportes eram armazenadas em uma pasta de rede compartilhada, e um dos gerentes de vendas aproveitando-se disso, descarregou os dados em um pen-drive. Em seguida, o sistema DLP registrou o vazamento de informações para a mídia externa e o funcionário admitiu que havia concordado em repassar as cópias digitalizadas para outra pessoa em troca de recompensa. Por fim, foi descoberto que o fraudador adquiria cópias de passaportes para verificação de identidade em sites de cassinos online, bem como para recursos de compra e venda.

Outro caso foi de quando nosso centro analítico descobriu alguns anos atrás que, em certo hotel, as cópias digitalizadas dos passaportes de hóspedes encontravam-se em um domínio público. Ademais, ao se conectar ao Wi-Fi gratuito, vários computadores apareciam na rede, incluindo o da recepção. O analista da SearchInform fez livremente o download de cópias digitalizadas dos documentos de hóspedes, e se dirigiu à gerência do hotel com esses dados. Ao final, descobrimos que a organização nem sequer tinha um administrador de sistemas permanente que pudesse resolver rapidamente o problema.

Mas, como proteger seus dados?

O problema relacionado à segurança de dados pessoais, infelizmente, ainda não está aproxima de ter uma solução, tendo em vista que a maioria das organizações do setor hoteleiro não possui ferramentas de proteção. Em casos especiais, é possível proteger-se de maneira bastante simples: basta ter uma cópia do passaporte previamente preparada com uma inscrição (sem comprometer a legibilidade do documento), designando para qual instituição esta cópia foi feita, ou insista para que os funcionários não façam cópias de seu passaporte, mas insiram seus dados no sistema manualmente.

Um sistema DLP de qualidade em computadores que armazenam e processam dados pessoais permitirá bloquear o envio de informações importantes, e poderá notificar a gerência ou um funcionário do departamento de segurança da informação sobre qualquer tentativa de vazamento. Deste modo, apenas as iniciativas de reguladores podem corrigir plenamente a situação sobre a segurança de dados pessoais se a proteção dos dados for exigida das instituições do setor hoteleiro em nível governamental. Assim, verificações serão realizadas e penalidades significativas serão impostas, para que a maioria dos problemas seja resolvida.

Vladimir Prestes é Diretor Geral da SearchInform no Brasil, líder russa em sistemas de segurança da informação há mais de 20 anos. Com mais de dois mil clientes e cerca de 1.200.000 computadores protegidos, possui escritórios em 16 países.