BWH Hotels, la société mère derrière Best Western Hotels & Resorts, WorldHotels et SureStay Hotels, a révélé une fuite de données après que des hackers ont accédé aux systèmes de réservation des clients pendant plus de six mois.
Selon des avis envoyés aux clients concernés, la société a découvert une activité non autorisée le 22 avril 2026, impliquant une application web utilisée pour stocker des informations de réservation d’hôtel. Les enquêteurs ont ensuite déterminé que les assaillants avaient accès au système entre le 14 octobre 2025 et le 22 avril 2026.
Les informations compromises incluent les noms des invités, adresses e-mail, numéros de téléphone, adresses domiciliaires, numéros de réservation, dates de séjour et demandes spéciales associées aux réservations d’hôtel. BWH Hotels a indiqué que les informations sur les cartes de paiement et bancaires n’avaient pas été affectées car les données financières n’étaient pas stockées dans l’application concernée.
L’entreprise n’a pas divulgué combien d’invités ont été touchés par cette brèche. Cependant, BWH Hotels exploite plus de 4 000 hôtels dans le monde sous plusieurs marques, dont Best Western, WorldHotels et Sure Hotels.
BWH Hotels a déclaré que les attaquants avaient exploité une vulnérabilité dans l’une de ses applications web pour obtenir un accès non autorisé aux données de réservation. Après avoir découvert l’intrusion, l’entreprise a mis l’application concernée hors ligne, a révoqué un accès non autorisé et a lancé une enquête avec l’aide d’experts externes en cybersécurité.
Dans les notifications aux clients, l’entreprise avertissait les clients de se méfier des emails de phishing, des SMS suspects, des fausses pages de réservation et des appels téléphoniques frauduleux faisant référence à des réservations d’hôtel. BWH a spécifiquement conseillé aux clients de ne pas répondre aux demandes imprévues de paiements, identifiants de connexion, codes de vérification ou informations personnelles.
Cette violation soulève des inquiétudes car les informations exposées sur les réservations peuvent être très précieuses pour les escrocs. Les cybercriminels peuvent utiliser des informations de réservation légitimes, des noms d’hôtels, des dates de voyage et des coordonnées pour créer des campagnes de phishing convaincantes ciblant les voyageurs avec de fausses demandes de paiement ou des mises à jour frauduleuses de réservation.
BWH Hotels a également averti que les attaquants pourraient tenter de se faire passer pour le personnel de l’hôtel ou des représentants du support client en utilisant des données de réservation volées pour rendre les arnaques légitimes. L’entreprise recommandait aux clients de naviguer directement sur les sites officiels de l’hôtel plutôt que de cliquer sur des liens dans des e-mails ou des messages.
Le secteur de l’hôtellerie est devenu une cible fréquente de cyberattaques car les systèmes hôteliers stockent de grandes quantités d’informations personnelles liées aux réservations, aux plans de voyage, aux comptes de fidélité et aux activités de paiement. Les systèmes de réservation sont particulièrement attrayants pour les attaquants car ils contiennent souvent des données détaillées de contact client qui peuvent ensuite être utilisées lors d’opérations de phishing.