Het Thayer Hotel in West Point, een monumentaal hotel voor de gemeenschap van de Militaire Academie van de Verenigde Staten, heeft een datalek gemeld waarbij persoonlijke informatie van meer dan 33.000 personen in gevaar is gebracht. Het hotel ontdekte de inbraak in september 2025 en heeft sindsdien een forensisch onderzoek afgerond met de hulp van cybersecurity-specialisten.
Volgens kennisgevingsbrieven die bij toezichthouders zijn ingediend, heeft het hotel op 26 september ongeoorloofde toegang tot zijn netwerk gedetecteerd. Uit het onderzoek bleek dat aanvallers toegang hadden gekregen tot systemen met klantgegevens, hoewel het niet bevestigde of de gegevens waren gekopieerd of verwijderd. De inbreuk trof ongeveer 33.053 mensen, waaronder hotelgasten, werknemers en bezoekers.
De gecompromitteerde gegevens omvatten namen die zijn gekoppeld aan door de overheid uitgegeven identificatienummers, zoals rijbewijzen, paspoorten en staats-ID’s. In een klein aantal gevallen werden ook burgerservicenummers blootgesteld. Het hotel zei dat het onmiddellijk actie ondernam om zijn systemen te beveiligen en interne inloggegevens opnieuw in te stellen nadat de inbraak was gedetecteerd.
Het Thayer Hotel, gelegen in de buurt van de Amerikaanse militaire academie, biedt vaak onderdak aan huidige en voormalige militairen, bezoekende functionarissen en families van cadetten. De aanwezigheid van dergelijke gasten geeft aanleiding tot bezorgdheid dat blootgestelde gegevens kunnen worden gebruikt voor gerichte fraude of phishing. Beveiligingsexperts waarschuwen dat informatie zoals paspoort- en licentienummers kan worden misbruikt voor identiteitsdiefstal of pogingen tot social engineering.
Het hotel zei dat het nauw samenwerkt met wetshandhavings- en cyberbeveiligingsadviseurs om zijn systemen te versterken en toekomstige incidenten te voorkomen. Getroffen personen hebben een jaar lang identiteitsbescherming en kredietbewakingsdiensten aangeboden gekregen. Deskundigen merken echter op dat blootstelling van permanente identificatiemiddelen zoals paspoorten en burgerservicenummers voortdurende risico’s met zich meebrengt die verder reiken dan de monitoringperiode.
Beveiligingsproblemen op de lange termijn voor horeca en aan het leger gekoppelde gegevens
De inbreuk op het Thayer Hotel onderstreept de kwetsbaarheid van horecaaanbieders die omgaan met gevoelige gastinformatie, met name degenen die overheids- en militaire gemeenschappen bedienen. Cybercriminelen richten zich vaak op hotels omdat ze gedetailleerde persoonlijke gegevens opslaan en vaak vertrouwen op systemen van derden voor reserveringen en facturering.
Analisten zeggen dat horecanetwerken een aantrekkelijk doelwit blijven vanwege de hoeveelheid persoonlijke informatie die dagelijks wordt verwerkt en de relatieve moeilijkheid om een strikte segmentatie tussen gastenservices en administratieve systemen te handhaven. In dit geval lijken de aanvallers zwakke punten in de interne infrastructuur van het hotel te hebben uitgebuit in plaats van via de boekingspartners.
Voor personen die door de inbreuk zijn getroffen, ligt de dreiging op de lange termijn in het hergebruik van gestolen informatie in andere systemen. Identiteitsdocumenten kunnen worden gebruikt om frauduleuze leningen aan te vragen, financiële rekeningen te openen of verificatieprocessen te omzeilen. Experts adviseren getroffen gasten om hun kredietwaardigheid in de gaten te houden en voorzichtig te blijven met ongevraagde berichten of aanbiedingen die verwijzen naar hun militaire status.
Het Thayer Hotel verklaarde dat het zijn gegevensbeschermingskader blijft verbeteren en sterkere toegangscontroles implementeert. Het onderzoek heeft de inbreuk niet in verband gebracht met een bekende dreigingsgroep. Desalniettemin illustreert het incident de toenemende druk op kleinere horecaorganisaties om cyberbeveiligingsnormen op bedrijfsniveau toe te passen in overeenstemming met de gevoeligheid van de informatie die ze beheren.