BWH Hotels cảnh báo khách hàng về vụ rò rỉ dữ liệu đặt phòng do tấn công mạng

BWH Hotels, tập đoàn sở hữu các thương hiệu khách sạn nổi tiếng như WorldHotels, Best Western Hotels & Resorts và Sure Hotels, đang gửi cảnh báo đến khách hàng về một sự cố an ninh mạng nghiêm trọng. Theo thông báo, một bên thứ ba trái phép đã xâm nhập vào hệ thống và truy cập dữ liệu trong suốt 6 tháng qua.

Vụ việc được phát hiện vào ngày 22 tháng 4 năm 2026, nhưng dữ liệu bị ảnh hưởng có thể quay ngược lại đến ngày 14 tháng 10 năm 2025. Ông Bill Ryan, Giám đốc Công nghệ (CTO) của BWH Hotels, người trực tiếp ký thư thông báo, cho biết các thông tin như tên, địa chỉ email, số điện thoại và địa chỉ nhà của "một số khách hàng" đã bị lộ.

Ngoài ra, kẻ tấn công còn tiếp cận được các chi tiết đặt phòng, bao gồm mã đặt phòng (reservation numbers), ngày lưu trú và các yêu cầu đặc biệt của khách.

Nguyên nhân và phạm vi ảnh hưởng

BWH Hotels xác nhận cuộc tấn công này nhắm vào một trong các ứng dụng web lưu trữ dữ liệu đặt phòng của khách. Tuy nhiên, công ty khẳng định không có thông tin thanh toán hay chi tiết tài khoản ngân hàng nào bị lộ trong vụ việc này.

Hiện vẫn chưa rõ liệu việc xâm nhập đã bắt đầu từ tháng 10 năm ngoái và diễn ra âm thầm cho đến tháng 4, hay là một vụ tấn công sau đó đã làm lộ dữ liệu lịch sử từ tháng 10. Cũng có câu hỏi về mối liên hệ giữa vụ việc này với các thông tin mà The Register nhận được vào tháng 3 về việc dữ liệu đặt phòng của BWH bị đánh cắp để phục vụ cho các chiến dịch lừa đảo (phishing). Tính đến thời điểm hiện tại, công ty chưa đưa ra bình luận chính thức về các chi tiết này.

Khuyến cáo an ninh cho khách hàng

Ngay sau khi phát hiện sự cố, BWH Hotels đã đưa ứng dụng bị ảnh hưởng ngoại tuyến và thu hồi quyền truy cập trái phép. Tập đoàn cho biết đã thuê các chuyên gia an ninh mạng hàng đầu để hỗ trợ xử lý sự cố và củng cố các biện pháp bảo vệ.

Trong thư thông báo, ông Ryan đưa ra lời khuyên dành cho khách hàng:

"Chúng tôi khuyên khách hàng nên đặc biệt cảnh giác khi nhận được bất kỳ liên lạc bất ngờ hoặc đáng ngờ nào về việc lưu trú tại khách sạn. Nếu bạn nhận được email, tin nhắn văn bản, thông báo WhatsApp hoặc cuộc gọi điện thoại đáng ngờ yêu cầu thanh toán, mã, thông tin đăng nhập hoặc 'xác minh', ngay cả khi chúng đề cập đến BWH Hotels hoặc đặt phòng sắp tới của bạn, tuyệt đối không nên tương tác. Hãy truy cập trực tiếp vào trang web thay vì nhấp vào liên kết."

Đây là lời nhắc nhở quan trọng về nguy cơ lừa đảo sau khi dữ liệu cá nhân bị lộ, khi tội phạm mạng thường sử dụng thông tin chi tiết (như ngày đặt phòng chính xác) để tạo niềm tin giả và lừa người dùng cung cấp thêm thông tin nhạy cảm hơn.