In Italië is een grootschalige datadiefstal aan het licht gekomen waarbij meer dan 90.000 kopieën van identiteitsbewijzen van hotelgasten in criminele handen zijn gevallen. Het Italiaanse cyberagentschap AGID (Agenzia per l’Italia Digitale) en de nationale privacywaakhond GDPD hebben bevestigd dat er meerdere datalekmeldingen zijn ontvangen van hotels. De gestolen gegevens worden inmiddels te koop aangeboden op het dark web, voor bedragen tussen de 800 en 10.000 euro.

Ook Nederlandse toeristen kunnen het slachtoffer zijn geworden van deze datadiefstal. Volgens AGID gaat het om hoge resolutie scans van paspoorten, identiteitskaarten en andere documenten die gasten bij het inchecken moesten overhandigen. De documenten zouden in de afgelopen maanden zijn buitgemaakt bij zeker tien hotels, al sluit het agentschap niet uit dat het werkelijke aantal hoger ligt. Hoe de inbraak precies plaatsvond, is nog onduidelijk.
De hacker of hackers achter de diefstal zouden zich schuilhouden achter de naam Mydocs. Deze groep claimt de aanvallen te hebben uitgevoerd tussen juni en juli van dit jaar en publiceerde al screenshots als bewijs. Italiaanse media, waaronder Corriere del Veneto, melden dat het gaat om onder meer Hotel Ca’ dei Conti in Venetië, Regina Isabella op Ischia, Hotel Continentale in Triëst en Casa Dorita in Milano Marittima. Ook een hotel op Mallorca zou zijn getroffen.

Aanzienlijke impact mogelijk

De impact voor de slachtoffers kan aanzienlijk zijn. Met de gestolen gegevens kunnen criminelen valse documenten aanmaken, bankrekeningen openen of zich uitgeven voor de echte eigenaar van het document. Ook social engineering en identiteitsfraude liggen op de loer. De gevolgen kunnen zowel financieel als juridisch zwaar zijn, waarschuwt AGID, dat burgers oproept alert te blijven voor verdachte activiteiten zoals onverwachte kredietaanvragen of nieuwe bankrekeningen op hun naam.
Op het dark web worden inmiddels naar schatting meer dan 70.000 van de gestolen documenten openlijk aangeboden, naast aanvullende datasets die mogelijk nog niet zijn vrijgegeven. De verkoop richt zich op partijen die de gegevens voor criminele doeleinden willen gebruiken, wat de urgentie voor een snelle reactie vanuit de getroffen hotels en autoriteiten vergroot.
Het onderzoek van de GDPD en AGID loopt nog. Intussen wordt gewerkt aan het identificeren van alle getroffen hotels en het waarschuwen van de betrokken gasten. De affaire legt opnieuw de kwetsbaarheid bloot van digitale systemen in de toerismesector, waar het opslaan van persoonlijke gegevens vaak noodzakelijk is, maar de beveiliging niet altijd opgewassen blijkt tegen professionele hackers.