Os sistemas de pagamentos para pontos de venda de mais de 50 hotéis do grupo foram infetados com malware e assim permaneceram durante algum tempo, até que o grupo detetasse o problema. Os primeiros ataques foram verificados em novembro de 2014 e o último em março deste ano.

O sistema de ponto de venda é usado em diferentes locais dos hotéis, como boutiques, quiosques ou restaurantes. Lê informação de cartões de débito e crédito na altura do pagamento de compras, sempre que um destes meios é utilizado.

O programa malicioso instalado no sistema pode ter dado acesso aos atacantes a toda a informação necessária para usar os cartões dos clientes em compras online, como o número do cartão, data de validade ou código de segurança.

O problema afetou hotéis Sheraton ou Westin, ambos da cadeia Starwood, nos Estados Unidos e no Canadá. O grupo garante que o malware entretanto foi removido e foram já “implementadas medidas de segurança adicionais para ajudar a prevenir este tipo de crime”. Também assegura que não encontrou evidências de que o malware estivesse instalado noutras plataformas do hotel, como o sistema de reservas.

A lista de hotéis afetados pelo problema foi disponibilizada online pela empresa. Estão lá hotéis em Nova Iorque, no aeroporto de Los Angeles ou Montreal, por exemplo.