Best Western Hotels & Resorts, WorldHotels ve SureStay Hotels’in ana şirketi BWH Hotels, hackerların altı aydan fazla süredir misafir rezervasyon sistemlerine erişim sağlamasının ardından bir veri ihlali açıkladı.
Etkilenen müşterilere gönderilen bildirimlere göre, şirket 22 Nisan 2026’da otel rezervasyon bilgilerini saklamak için kullanılan bir web uygulamasıyla ilgili yetkisiz faaliyet tespit etti. Soruşturmacılar daha sonra saldırganların 14 Ekim 2025 ile 22 Nisan 2026 arasında sisteme erişimi olduğunu belirledi.
Ele geçirilen bilgiler arasında misafir isimleri, e-posta adresleri, telefon numaraları, ev adresleri, rezervasyon numaraları, konaklama tarihleri ve otel rezervasyonlarıyla ilgili özel talepler yer alıyor. BWH Hotels, finansal verilerin etkilenen uygulamada saklanmaması nedeniyle ödeme kartı ve banka bilgilerinin etkilenmediğini belirtti.
Şirket, ihlalden etkilenen misafirlerin sayısını açıklamadı. Ancak BWH Hotels, Best Western, WorldHotels ve Sure Hotels dahil olmak üzere birçok markada dünya çapında 4.000’den fazla otel işletmektedir.
BWH Hotels, saldırganların web uygulamalarından birindeki bir güvenlik açığını kullanarak rezervasyon verilerine yetkisiz erişim sağladığını söyledi. Müdahaleyi tespit ettikten sonra şirket, etkilenen uygulamayı çevrimdışı hale getirdi, yetkisiz erişimi iptal etti ve dış siber güvenlik uzmanlarının yardımıyla bir soruşturma başlattı.
Müşteri bildirimlerinde, şirket misafirleri oltalama e-postalarına, şüpheli mesajlara, sahte rezervasyon sayfalarına ve otel rezervasyonlarına atıfta bulunan sahte telefon aramalarına karşı dikkatli olmaları konusunda uyardı. BWH, müşterilere beklenmedik ödeme, giriş bilgileri, doğrulama kodları veya kişisel bilgiler taleplerine yanıt vermemelerini özellikle tavsiye etti.
İhlal endişe yaratıyor çünkü açıkta kalan rezervasyon bilgileri dolandırıcılar için son derece değerli olabilir. Siber suçlular, sahte ödeme talepleri veya sahte rezervasyon güncellemeleri olan yolcuları hedef alan ikna edici oltalama kampanyaları oluşturmak için yasal rezervasyon bilgilerini, otel isimlerini, seyahat tarihlerini ve iletişim bilgilerini kullanabilir.
BWH Hotels ayrıca, saldırganların çalınan rezervasyon bilgilerini kullanarak otel personeli veya müşteri destek temsilcisi gibi davranmaya çalışabileceği konusunda uyarıda bulundu. Şirket, müşterilerin e-posta veya mesajlardaki bağlantılara tıklamak yerine doğrudan resmi otel web sitelerine gitmelerini önerdi.
Konaklama sektörü, otel sistemlerinin rezervasyonlar, seyahat planları, sadakat hesapları ve ödeme faaliyetleriyle bağlantılı büyük miktarda kişisel bilgi depolaması nedeniyle sık sık siber saldırıların hedefi haline geldi. Rezervasyon sistemleri, genellikle daha sonra oltalama operasyonlarında kötüye kullanılabilecek ayrıntılı müşteri temas verilerini içermeleri nedeniyle saldırganlar için özellikle caziptir.