Amerika Birleşik Devletleri Askeri Akademisi topluluğuna hizmet veren simgesel bir otel olan West Point’teki Thayer Hotel, 33.000’den fazla kişiye ait kişisel bilgileri tehlikeye atan bir veri ihlali bildirdi. Otel, izinsiz girişi Eylül 2025’te keşfetti ve o zamandan beri siber güvenlik uzmanlarının yardımıyla adli tıp soruşturmasını tamamladı.
Düzenleyicilere sunulan bildirim mektuplarına göre otel, 26 Eylül’de ağına yetkisiz erişim tespit etti. Soruşturma, saldırganların müşteri kayıtlarını içeren sistemlere erişim sağladığını ortaya çıkardı, ancak verilerin kopyalanıp kopyalanmadığını veya kaldırılıp kaldırılmadığını doğrulamadı. İhlal, otel misafirleri, çalışanları ve ziyaretçileri de dahil olmak üzere yaklaşık 33.053 kişiyi etkiledi.
Ele geçirilen veriler, sürücü belgeleri, pasaportlar ve eyalet kimlikleri gibi devlet tarafından verilen kimlik numaralarıyla bağlantılı adları içerir. Az sayıda vakada Sosyal Güvenlik numaraları da açığa çıktı. Otel, izinsiz giriş tespit edildikten sonra sistemlerini güvence altına almak ve dahili kimlik bilgilerini sıfırlamak için derhal harekete geçtiğini söyledi.
ABD Askeri Akademisi’nin yakınında bulunan Thayer Hotel, sık sık mevcut ve eski askeri personele, ziyaret eden yetkililere ve öğrenci ailelerine ev sahipliği yapmaktadır. Bu tür konukların varlığı, açığa çıkan verilerin hedefli dolandırıcılık veya kimlik avı için kullanılabileceği endişesini artırıyor. Güvenlik uzmanları, pasaport ve lisans numaraları gibi bilgilerin kimlik hırsızlığı veya sosyal mühendislik girişimleri için kullanılabileceği konusunda uyarıyor.
Otel, sistemlerini güçlendirmek ve gelecekteki olayları önlemek için kolluk kuvvetleri ve siber güvenlik danışmanlarıyla yakın işbirliği içinde çalıştığını söyledi. Etkilenen kişilere bir yıllık kimlik koruma ve kredi izleme hizmetleri sunuldu. Ancak uzmanlar, pasaport ve Sosyal Güvenlik numaraları gibi kalıcı tanımlayıcıların açığa çıkmasının, izleme süresinin ötesine geçen devam eden riskler oluşturduğunu belirtiyor.
Konaklama ve askeri bağlantılı veriler için uzun vadeli güvenlik endişeleri
Thayer Oteli ihlali, özellikle hükümet ve askeri topluluklara hizmet verenler olmak üzere hassas konuk bilgilerini işleyen konaklama sağlayıcılarının savunmasızlığının altını çiziyor. Siber suçlular, ayrıntılı kişisel verileri depoladıkları ve rezervasyonlar ve faturalandırma için sıklıkla üçüncü taraf sistemlere güvendikleri için genellikle otelleri hedef alır.
Analistler, günlük olarak işlenen kişisel bilgilerin hacmi ve konuk hizmetleri ile idari sistemler arasında katı segmentasyonu sürdürmenin göreceli zorluğu nedeniyle konaklama ağlarının çekici bir hedef olmaya devam ettiğini söylüyor. Bu durumda, saldırganların rezervasyon ortakları yerine otelin iç altyapısındaki zayıflıklardan yararlandığı görülüyor.
İhlalden etkilenen kişiler için uzun vadeli tehdit, çalınan bilgilerin diğer sistemlerde yeniden kullanılmasında yatmaktadır. Kimlik belgeleri sahte kredilere başvurmak, finansal hesaplar açmak veya doğrulama süreçlerini atlamak için kullanılabilir. Uzmanlar, etkilenen konuklara kredi raporlarını izlemelerini ve askerlik durumlarına atıfta bulunan istenmeyen mesajlara veya tekliflere karşı dikkatli olmalarını tavsiye ediyor.
Thayer Hotel, veri koruma çerçevesini geliştirmeye ve daha güçlü erişim kontrolleri uygulamaya devam ettiğini belirtti. Soruşturma, ihlali bilinen herhangi bir tehdit grubuyla ilişkilendirmedi. Bununla birlikte olay, daha küçük konaklama kuruluşları üzerinde, yönettikleri bilgilerin hassasiyeti doğrultusunda kurumsal düzeyde siber güvenlik standartlarını benimsemeleri için artan baskıyı göstermektedir.