Booking.com, hotels.com m fl lämnar ut kortnummer och CVC-koder i klartext till hotellen

  • Thread starter Thread starter Jakob Österberg
  • Start date Start date
J

Jakob Österberg

Guest
Om ni någonsin undrar var ni blir skimmade någonstans så kan en källa till detta vara via hotellbokningarna. Tydligen så lämnas kortnummer och CVC/CVV-nummer ut i klartext till hotell.

Men det verkar som om de bara gör det i de fall då man väljer att betala för hotellet på plats (vilket för hotellbokningar i Sverige verkar vara det enda praktiska alternativet för att få ut ett momskvitto).



Hela artikeln här: Se upp för skimning vid resebokning | Placera



(...)Anledningen till att skimning ofta förekommer vid bokning av resa och hotell är att vissa stora hotellbokningssajter, däribland Booking.com och Hotels.com, lämnar vidare den så kallade CVC-koden, eller CVV-koden, till det bokade hotellet. Det är en tresiffrig säkerhetskod på betalkortets baksida, och som vanligtvis behöver uppges vid köp på internet. Koden är till för att skydda dig som kund mot bedrägerier.



När Placera kontaktar Booking.com för att höra om det stämmer att de lämnar ut kundernas säkerhetskoder blir svaret följande:



"Vi accepterar kreditkortsuppgifter (och ibland CVC-koder) för våra boendepartners räkning för att bekräfta bokningar, vilket gör det möjligt för dem att därefter gå vidare med betalningen utifrån sina policies", säger Giuseppe Salomi, Area Manager Sweden på Booking.com.



Booking.com ligger i gränslandet för vad man får och inte får göra i de fall där betalningen sker på hotellet även om bolaget följer PCI-kraven. PCI är ett regelverk som omfattar alla parter som på något sätt kommer i kontakt med kortnummer, det kan vara allt från e-handlare till betalningsförmedlare och andra leverantörer.(...)
 
Detta är ju tyvärr inget nytt. Det är ofta man ser ett printat mail från outlook med kortnummer om man checkar in på småhotell. (som vanligt har det väl även diskuterats i tidigare tråd på bc, men inte lätthittad)



Ytterligare en anledning att välja betala-på-hotellet.
 
Jakob Österberg skrev:Fast det är ju då som hotellet får ta del av kortuppgifterna?Klicka för att utvidga...
Click to expand...
Nej det är väl då som man får betala med kortet på plats när man är där? Trodde jag. Visar på hur bra systemet är data:image/gif;base64,R0lGODlhAQABAIAAAAAAAP///yH5BAEAAAAALAAAAAABAAEAAAIBRAA7
 
mha321 skrev:Nej det är väl då som man får betala med kortet på plats när man är där? Trodde jag. Visar på hur bra systemet ärKlicka för att utvidga...
Click to expand...


Fast när man väljer detta alternativ (betala på hotellet) så måste man ändå ange vilket kort man ska betala med på hotellet, och det är denna information bokningsajten förmedlar i klarttext till hotellet. När man betalar direkt via bokningssajten har jag svårt att se varför dom skulle skicka dessa uppgifter vidare men det kanske dom gör även då. Dvs att bokningssajten aldrig utför något debitering, utan enbart agerar mellanhand för uppgifterna.



Hur som helst skamligt, det ska inte vara några problem att göra detta på ett säkert sätt (rent tekniskt).



Edit: Minns att sist jag bokade ett hotell hos Meliá i Paris (feb 2018) och valde att betala direkt på Hotels.com så tog det 1-2 dagar och på kontoutdraget stod det Meliá, inte Hotels.com. Dom lär alltså i detta fall skickat mina kortuppgifter till hotellet för manuell dragning.
 
Canadien skrev:Precis, man ska välja att betala via Hotels.com och inte på hotellet.Klicka för att utvidga...
Click to expand...
Eller bara låta bli att använda den typen av bokningssiter data:image/gif;base64,R0lGODlhAQABAIAAAAAAAP///yH5BAEAAAAALAAAAAABAAEAAAIBRAA7
 
Jag har fått ett utdrag från ett hotell på vad de fått om mig från bokningssiten. Det var mer eller mindre fullständiga kortuppgifter, vilket sattes in i en pärm helt öppet för hela personalen som kommer åt området i receptionen. I princip vem som helst kan skimma kort på löpande band med dessa uppgifter.




mha321 skrev:Eller bara låta bli att använda den typen av bokningssiterKlicka för att utvidga...
Click to expand...
Det är inte alltid det lättaste om man skall bo mer på någon typ av mindre hotell, på landsbygden eller liknande. För ett Hilton eller Radisson så är väl deras egna sidor att föredra däremot.
 
sweflyer skrev:Det är inte alltid det lättaste om man skall bo mer på någon typ av mindre hotell, på landsbygden eller liknande. För ett Hilton eller Radisson så är väl deras egna sidor att föredra däremot.Klicka för att utvidga...
Click to expand...
Nej ibland är det svårt. Men det brukar ofta gå att ringa eller maila hotellet direkt och boka också, även om de inte har en egen bokningsmotor på hemsidan. Den typen av hotell brukar ha mindre problem med den typen av bokningar.
 
Jag har varit hotellchef och kan intyga att man får ut fullständiga kortuppgifter på den som gör bokningen. Detta för att man som hotellägare/operatör själv skall kunna välja att debitera första natten direkt, validera kortet genom att prova att exempelvis reservera en krona och därigenom förvissa sig om att kortet fungerar om gästen sedan blir en "no-show" där de flesta hotell då debiterar första natten i sin helhet. Alla uppgifter finns med, såsom kortnummer, cvv-kod, utgångsdatum och kortinnehavarens namn. Det är fullständigt vidöppet!



Kortuppgifterna visas bara "en gång" på Booking.coms och Hotel.coms webbsida, därför löser många hotell det genom att helt enkelt skriva ut sidan när det kommer en ny bokning. Sedan sätts alla dessa utskrifter i en pärm efter gästens ankomstdatum. Beroende på hur pärmen förvaras kan en, två eller flera personer (i värsta fall hela receptionens personalstyrka) ha tillgång till pärmen och alla kortuppgifterna som finns där.



Ett enkelt sätt att skydda sig är att helt enkelt skriva en siffra fel i kortnumret, då jag jobbade gjorde nämligen varken Booking eller Hotels någon som helst verifiering av kortnumret, utan man kunde fylla i 16 siffror helt random. Ett annat alternativ är att ha ett litet skräpkort ifrån exempelvis Paygo, som återförsäljs hos exempelvis Pressbyrån och 7-Eleven. Detta är ett Mastercard med ganska kort giltighetstid och som man kan ladda med 200kr, plus själva avgifter för kortet, som är 39-45kr. Då kan man använda det kortnumret när man gör en bokning, kortet "validerar" när hotellet försöker reservera en krona (en dollar eller liknande) på det och skulle man sedan inte dyka upp, så kan de inte debitera kortet eftersom man ser till att ha väldigt lite pengar på det. Ett annat alternativ är ett virtuellt Visa-kort från exempelvis Entropay som ger ut "disposable" Visa-kort, som man laddar och sköter via deras webbsida. Fantastiskt att ha på alla diverse skumma ställen på internet där man absolut inte vill ha sitt kortnummer lagrat eller "fritt tillgängligt".
 
Canadien skrev:Är nog mer hotellet i andra änden som är problemet än förmedlingen.Klicka för att utvidga...
Click to expand...
Om booking.com mallar över kortnummer och koderna klartext, vilket de gör, så är de en del av problemet. Inte bara deras fel men de har en rätt stor del av ansvaret. Och om de tex vägrade göra det så har de tillsammans med hotels tillräcklig storlek på marknaden för att de lätt kan tvinga igenom det.
 
mha321 skrev:Om booking.com mallar över kortnummer och koderna klartext, vilket de gör, så är de en del av problemet. Inte bara deras fel men de har en rätt stor del av ansvaret. Och om de tex vägrade göra det så har de tillsammans med hotels tillräcklig storlek på marknaden för att de lätt kan tvinga igenom det.Klicka för att utvidga...
Click to expand...
Vadå vägrar? Vad skulle alternativet vara? Hotellet behöver ju fullständiga kortuppgifter för at kunna ta betalt av exempelvis folk som inte dyker upp.
 
nollbit skrev:Vadå vägrar? Vad skulle alternativet vara? Hotellet behöver ju fullständiga kortuppgifter för at kunna ta betalt av exempelvis folk som inte dyker upp.Klicka för att utvidga...
Click to expand...


Det finns många sätt att utbyta känslig information mellan system utan att medarbetarna kan komma åt informationen. Alternativet är att konsumenterna ställer krav på högre säkerhet.
 
nollbit skrev:Vadå vägrar? Vad skulle alternativet vara? Hotellet behöver ju fullständiga kortuppgifter för at kunna ta betalt av exempelvis folk som inte dyker upp.Klicka för att utvidga...
Click to expand...
Nej det behöver de inte alls.



De skulle kunna få den betalningen via bokningssiten. De skulle kunna använda tokeniserade accessed till korten. Det finns gott om tekniska lösningar för den typen av problem, och ingen av dem kräver att kortuppgifter överförs eller lagras i klartext.



Det kräver säkert en den uppdatering av system men framförallt av rutiner. Men just sådant är det som går att tvinga fram på en sådan marknad.
 
Det är riktigt att man kan köra tokeniserad access och man kan konfigurera system ... MEN, det finns mängder med hotellbokningssystem som inte stödjer detta idag, det finns mängder med hotell som knappt har något system över huvudtaget! Jag har besökt hundratals hotell för att handha deras kortinlösen, kortuppgifter hanteras ytterst vårdslöst på många ställen. Helt enkelt för att det varken finns tid, kunskap, pengar eller intresse för att lösa det på något bättre sätt.
 
Berglund skrev:Det är riktigt att man kan köra tokeniserad access och man kan konfigurera system ... MEN, det finns mängder med hotellbokningssystem som inte stödjer detta idag, det finns mängder med hotell som knappt har något system över huvudtaget! Jag har besökt hundratals hotell för att handha deras kortinlösen, kortuppgifter hanteras ytterst vårdslöst på många ställen. Helt enkelt för att det varken finns tid, kunskap, pengar eller intresse för att lösa det på något bättre sätt.Klicka för att utvidga...
Click to expand...


Absolut. Men om då tex booking sade " vi skickar inte kortuppgifter. Punkt. Om ni inte har ett modernt system så kan ni få använda vårt och processa no-shows genom det, kostar x%". För tex de hotell som sköter bokningarna på papper fortfarande (finns definitivt) så skulle det vara en klar improvement även oberoende av säkerheten tex.



Om det två stora booking siterna satte ner foten så skulle det hända saker. Det skulle säkert skrika en hel del i början, men det skulle hända saker. Mellan de två så äger de ju I princip marknaden.
 
Vet att Micros Opera ( ganska stort PMS-system ) sedan något år tillbaka maskar CC uppgifter, detta stod i klartext innan dom gjorde en update.



Vissa resebyråer / OTA faxar till och med bilder på CC, helt galet...
 
mha321 skrev:Absolut. Men om då tex booking sade " vi skickar inte kortuppgifter. Punkt. Om ni inte har ett modernt system så kan ni få använda vårt och processa no-shows genom det, kostar x%". För tex de hotell som sköter bokningarna på papper fortfarande (finns definitivt) så skulle det vara en klar improvement även oberoende av säkerheten tex.Klicka för att utvidga...
Click to expand...
Tro mig, jag ville jättegärna processa no-shows genom Booking, men de vägrar att ha någonting alls med debitering av kundens kort att göra. Varken Booking eller Hotels verifierar ju inte ens att kortnumren är riktiga (och det är ganska enkelt!) men de gör inte ens det.
 
Berglund skrev:Tro mig, jag ville jättegärna processa no-shows genom Booking, men de vägrar att ha någonting alls med debitering av kundens kort att göra. Varken Booking eller Hotels verifierar ju inte ens att kortnumren är riktiga (och det är ganska enkelt!) men de gör inte ens det.Klicka för att utvidga...
Click to expand...
Precis. Bollen för att lösa det här problemet ligger hos dem, inte hos de individuella hotellen.
 
You must log in or register to reply here.
Back
Top