Hackers hebben de BBC verteld dat ze "voor de lol" een destructieve cyberaanval hebben uitgevoerd op Holiday Inn-eigenaar Intercontinental Hotels Group (IHG). Ze beschrijven zichzelf als een stel uit Vietnam en zeggen dat ze eerst een ransomware-aanval hebben geprobeerd en vervolgens grote hoeveelheden gegevens hebben verwijderd toen ze werden verijdeld. Ze hadden toegang tot de databases van het FTSE 100-bedrijf dankzij een gemakkelijk te vinden en zwak wachtwoord, Qwerty1234. Een expert zegt dat de zaak de wraakzuchtige kant van criminele hackers aan het licht brengt.
Het in het VK gevestigde IHG exploiteert wereldwijd 6.000 hotels, waaronder de merken Holiday Inn, Crowne Plaza en Regent. Vorige week maandag meldden klanten wijdverbreide problemen met boeken en inchecken.24 uur lang reageerde IHG op klachten op sociale media door te zeggen dat het bedrijf "systeemonderhoud onderging".
Toen vertelde het dinsdagmiddag aan investeerders dat het was gehackt.
"De boekingskanalen en andere applicaties zijn sinds gisteren aanzienlijk verstoord", staat in een officieel bericht dat is ingediend bij de London Stock Exchange.
De hackers, die zichzelf TeaPea noemden, namen contact op met de BBC via de gecodeerde berichten-app Telegram en leverden screenshots als bewijs dat ze de hack hadden uitgevoerd.
De afbeeldingen, waarvan IHG heeft bevestigd dat ze echt zijn, laten zien dat ze toegang hebben gekregen tot de interne Outlook-e-mails, Microsoft Teams-chats en servermappen van het bedrijf.
"Onze aanval was oorspronkelijk bedoeld als ransomware, maar het IT-team van het bedrijf bleef servers isoleren voordat we de kans hadden om het in te zetten, dus we dachten een grappige [sic] te hebben. In plaats daarvan deden we een wisseraanval", een van de hackers gezegd.
Een wisseraanval is een vorm van cyberaanval waarbij gegevens, documenten en bestanden onomkeerbaar worden vernietigd.
Cyber-beveiligingsspecialist Rik Ferguson, vice-president beveiliging bij Forescout, zei dat het incident een waarschuwing was omdat, hoewel het IT-team van het bedrijf aanvankelijk een manier had gevonden om ze af te weren, de hackers nog steeds een manier konden vinden om schade.
"De verandering van tactiek van de hackers lijkt voortgekomen uit wraakzuchtige frustratie", zei hij. "Ze konden geen geld verdienen, dus haalden ze uit, en dat verraadt absoluut het feit dat we het hier niet hebben over 'professionele' cybercriminelen."
IHG zegt dat klantgerichte systemen weer normaal worden, maar dat de dienstverlening mogelijk onderbroken blijft.
De hackers tonen geen berouw over de verstoring die ze hebben veroorzaakt voor het bedrijf en zijn klanten.
"We voelen ons eigenlijk niet schuldig. We hebben liever een legale baan hier in Vietnam, maar het loon is gemiddeld $ 300 per maand. Ik weet zeker dat onze hack het bedrijf niet veel zal schaden."
De hackers zeggen dat er geen klantgegevens zijn gestolen, maar ze hebben wel enkele bedrijfsgegevens, waaronder e-mailrecords.
TeaPea zegt dat ze toegang hebben gekregen tot het interne IT-netwerk van IHG door een werknemer te misleiden om een kwaadaardig stuk software te downloaden via een boobytrap-e-mailbijlage.
Ze moesten ook een extra beveiligingsbericht omzeilen dat naar de apparaten van de werknemer werd gestuurd als onderdeel van een tweefactorauthenticatiesysteem. De criminelen zeiden vervolgens dat ze toegang hadden tot de meest gevoelige delen van het computersysteem van IHG nadat ze inloggegevens hadden gevonden voor de interne wachtwoordkluis van het bedrijf.
"De gebruikersnaam en het wachtwoord voor de kluis waren beschikbaar voor alle medewerkers, dus 200.000 medewerkers konden het zien. En het wachtwoord was extreem zwak", zeiden ze tegen de BBC.
Verrassend genoeg was het wachtwoord Qwerty1234, dat regelmatig voorkomt op lijsten met de meest gebruikte wachtwoorden wereldwijd.
"Gevoelige gegevens zouden alleen beschikbaar moeten zijn voor werknemers die toegang tot die gegevens nodig hebben om hun werk te doen, en ze zouden het minimale toegangsniveau [nodig] moeten hebben om die gegevens te gebruiken", zei de heer Ferguson na het zien van de screenshots.
"Zelfs een zeer complex wachtwoord is net zo onveilig als een eenvoudig wachtwoord als het zichtbaar blijft."
Een woordvoerster van IHG betwistte dat de details van de wachtwoordkluis niet veilig waren en zei dat de aanvaller "meerdere beveiligingslagen" moest omzeilen, maar wilde geen details geven over de extra beveiliging.
"IHG hanteert een diepgaande strategie voor informatiebeveiliging die gebruikmaakt van veel moderne beveiligingsoplossingen", voegde ze eraan toe.