Cette cyberattaque s'est déroulée en deux temps, précise le groupe dans un communiqué. Les hackers ont installé un logiciel malveillant du 18 novembre au 5 décembre 2014. Une nouvelle attaque a eu lieu du 21 avril au 27 juillet 2015, ajoute Hilton sans dire si les deux attaques ont été commises par les mêmes pirates informatiques.
« En collaboration avec des experts, des représentants de la loi et des émetteurs de cartes bancaires, Hilton Worldwide est parvenu à déterminer que le logiciel malveillant ciblait des informations spécifiques des cartes de paiement » dont les noms, les numéros, les codes de sécurité et les dates d'expiration.
Aucune adresse personnelle, ni de codes PIN n'ont été volés, assure le groupe hôtelier, qui préconise néanmoins par précaution aux personnes ayant séjourné dans ses établissements lors des périodes des attaques de vérifier leurs déclarations bancaires mensuelles. En cas d'irrégularité, Hilton demande aux clients victimes de contacter immédiatement leur banque.
On se souvient qu'en août 2008, la chaîne Best Western avait également essuyé un hack sur ses serveurs. En tout, plus de 1300 hôtels étaient concernés avec 8 millions de victimes potentielles. Un hacker avait réussi à exploiter une faille dans le mécanisme de réservation de Best Western. Par la suite il aurait vendu les détails de cette méthode à un réseau de la mafia russe.
La révélation du groupe Hilton tombe quatre jours seulement après que la chaîne hôtelière Starwood (Sheraton, St.Regis, W, Le Méridien...) a elle-aussi fait état d'une attaque informatique similaire. Les clients de l'hôtel peuvent consulter une FAQ sur cette page.