O Thayer Hotel em West Point, um hotel de referência que atende à comunidade da Academia Militar dos Estados Unidos, relatou uma violação de dados que comprometeu informações pessoais pertencentes a mais de 33.000 indivíduos. O hotel descobriu a invasão em setembro de 2025 e, desde então, concluiu uma investigação forense com a ajuda de especialistas em segurança cibernética.
De acordo com cartas de notificação arquivadas junto aos reguladores, o hotel detectou acesso não autorizado à sua rede em 26 de setembro. A investigação descobriu que os invasores obtiveram acesso a sistemas contendo registros de clientes, embora não tenha confirmado se os dados foram copiados ou removidos. A violação afetou aproximadamente 33.053 pessoas, incluindo hóspedes do hotel, funcionários e visitantes.
Os dados comprometidos incluem nomes vinculados a números de identificação emitidos pelo governo, como carteiras de motorista, passaportes e identidades estaduais. Em um pequeno número de casos, os números do Seguro Social também foram expostos. O hotel disse que tomou medidas imediatas para proteger seus sistemas e redefinir as credenciais internas depois que a intrusão foi detectada.
Localizado perto da Academia Militar dos EUA, o Thayer Hotel frequentemente hospeda militares atuais e antigos, oficiais visitantes e famílias de cadetes. A presença de tais convidados levanta a preocupação de que os dados expostos possam ser usados para fraude ou phishing direcionados. Especialistas em segurança alertam que informações como números de passaporte e licença podem ser exploradas para roubo de identidade ou tentativas de engenharia social.
O hotel disse que está trabalhando em estreita colaboração com consultores de segurança cibernética e policiais para fortalecer seus sistemas e prevenir futuros incidentes. Os indivíduos afetados receberam um ano de serviços de proteção de identidade e monitoramento de crédito. No entanto, os especialistas observam que a exposição de identificadores permanentes, como passaportes e números de previdência social, apresenta riscos contínuos que se estendem além do período de monitoramento.
Preocupações de segurança de longo prazo para hospitalidade e dados vinculados a militares
A violação do Thayer Hotel ressalta a vulnerabilidade dos provedores de hospitalidade que lidam com informações confidenciais dos hóspedes, principalmente aqueles que atendem às comunidades governamentais e militares. Os cibercriminosos geralmente visam hotéis porque armazenam dados pessoais detalhados e frequentemente dependem de sistemas de terceiros para reservas e cobrança.
Analistas dizem que as redes de hospitalidade continuam sendo um alvo atraente devido ao volume de informações pessoais processadas diariamente e à relativa dificuldade de manter uma segmentação estrita entre os serviços aos hóspedes e os sistemas administrativos. Nesse caso, os invasores parecem ter explorado pontos fracos na infraestrutura interna do hotel, e não por meio de seus parceiros de reserva.
Para os indivíduos afetados pela violação, a ameaça de longo prazo está na reutilização de informações roubadas em outros sistemas. Os documentos de identidade podem ser usados para solicitar empréstimos fraudulentos, abrir contas financeiras ou contornar processos de verificação. Os especialistas aconselham os hóspedes afetados a monitorar seus relatórios de crédito e permanecer cautelosos com mensagens ou ofertas não solicitadas que façam referência ao seu status militar.
O Thayer Hotel afirmou que continua aprimorando sua estrutura de proteção de dados e implementando controles de acesso mais fortes. A investigação não vinculou a violação a nenhum grupo de ameaça conhecido. No entanto, o incidente ilustra a crescente pressão sobre as organizações hoteleiras menores para adotar padrões de segurança cibernética de nível empresarial de acordo com a sensibilidade das informações que gerenciam.