IT - Säkerhet - Hotell sverige (SCANDIC)

Hej bullen!

Jag bor en del på hotell, och har upptäckt att de kan se bokningar jag gjort på andra hotell i samma kedja.

Hotell har en hel del regler att förhålla sig till när det gäller GDPR osv.

Jag undrar om någon här har insyn i hotellsystemen fungerar, och vilken data de delar?

Just SCANDIC hotel som jag kikat på är jag speciellt intresserad av eftersom jag upplevt att det finns kommunikation mellan hotellen om gästerna (namn, tel, adress, bokningsdatum osv.)

Är det någon som jobbar på SCANDIC eller som har insyn på SCANDIC eller liknande kedjor som vet hur mycket som lagras och vad de kan se? Hur hög är säkerheten?

Jag får en känsla av att den svagaste länken här är den anställde som fritt kan knappa lös på terminalen vid lobbyn och se precis alla bokningar i hela landet. Stämmer det?

Finns det möjligheter att söka på personnummer, kontaktinfo, namn, bokningsdatum från alla hotell på alla hotell?

En receptionist på ett scandic kan också se andra hotells bokningar om de vill, så ja.

Ibland när man legat ute en hel vecka och det blivit någon miss i bokningen så kan hotellet man besöker hjälpa till att rätta till det som blivit fel på nästa bokning på annat hotell så länge det då är samma kedja.

Du reser också en del eller?

Jag undrar vidare vad de kan se? Kan de söka upp en bokning på ett annat hotell även om de inte har ett namn?

Jag tänker om du kan söka på alla incheckade personer på ett hotell som de inte ens jobbar på?

Där någonstans kan det ju bli lite av en problematisk öppning för att fiska reda på information om andra personer.

Jag reser en del ja.
De kan säkerligen se vad de behöver se då jag gissar att Scandic inte har en central bokningsservice utan det är personal på hotellen som gör detta efter tid och möjlighet men detta är endast ett antagande.

De kan säkerligen söka på ditt namn, medlemsnummer eller annan data och se vart du bott tidigare.

Undrar hur man skulle behöva gå till väga om man vill hitta en gäst som funnits inbokad på ett hotell, innanför ett datum man känner till, men där man bara vet förnamnet, åldern och nationaliteten.

Kan en anställd på scandic filtrera ut detta?

Ingen aning, jag brukar vara gäst på hotellet och tar inte hand om deras IT-system.

Högst osannolikt att någon på front desken kan detta eftersom det är för få sökparametrar, men absolut någon på IT-avdelningen.

Eller så kan du finslipa dina Social engineering skills:
"Om du inte kan hitta din bokning, ring oss på 08-517 517 00"

Men det förutsätter att personen var den som stod på bokningen.

Fundera en sväng på varför någon skulle hjälpa dig med detta, GDPR vet dom också var det är.

Men har du efternamn också så är det inget problem. Men du borde ju rimligvis veta vilken stad det gäller och kedja.

Men du kommer ingenstans med bara ett förnamn.

Men se det som en OSINT utmaning och lägg ut den med ett pris så kommer du se att hjälp dyker upp.

Jag vet bara förnamn, datum, hotellet, hur många i rummet, nationalitet, ålder och rumstyp.

Har redan försökt den social hacking men det gav svagt resultat.
Kom halvvägs igenom och fick som besked "det skall vi kunna fixa" men sedan efter en halv minuts tänkande sa personen "tyvärr kan jag inte lova något", då den förstod att det kanske inte är lagligt. De kanske var rädd att jag testade säkerheten.

Det är egentligen ingen stor sak, så man kan knappast engagera någon hacker för saken som bara har ett värde på ett par tusenlappar. Men tanken slog mig att det kanske finns andra smarta sätt att bereda sig tillgång till information.

Jag har lyckats tidigare med banker, men det var innan de lade in säkerheten som ett lager i systemet. Människor är lättare att hacka än rigida system.

Det där med namnet är nog egentligen mindre viktigt om man bara kan få ut en lista på alla som checkade ut aktuella dagarna så kan jag lätt lista ut resten vilket rum det var utifrån namnen eftersom de är icke-svenska. Det jag söker är förnamn och efternamn på de som var inbokade i rummet.

Men informationen kanske inte är tillgänglig på alla scandic hotell, utan endast det aktuella, och där är jag ganska regelbundet så jag önskar inte göra mig känd där som en snokare.

Vad menar du OSINT utmaning och pris?

Finns det folk som jobbar som snokare och är duktiga på att bereda sig tillgång till system som detta?

Vart hittar man sådant folk?

Självklart. På flashback vart annars. Men du kommer nog inte hitta något via osint wtf du får väl börja med att försöka hacka systemet det är inte gjort på en kafferast för att ta reda på det du vill det är så det fungerar i denna världen vill man ha reda på någonting får man verkligen ta allt i egna händer så nu vet du det.

Gör en polisanmälan så plockar dom ut det åt dig.

Eller är du bara galen så får du nog jobba på att gå vidare