Naruszenie, odkryte zostało przez niezależnego badacza Boba Diachenko i zgłoszone przez Comparitech, pozostawało niewykryte przez kilka dni, pozwalając atakującym na kradzież milionów danych klientów z bazy danych MongoDB. Według sieci hoteli tylko 700 000 z 5,6 miliona gości miało wpisane rzeczywiste dane osobowe, a reszta to „dane testowe”.
O tym, że hakerzy są w posiadaniu wrażliwych danych klientów, poinformowali sieć hotelową za pomocą listu z żądaniem okupu. W zamian za brak wycieku wrażliwych danych zażądali 0,4 Bitcoinów, co odpowiada 4200 dolarom.
Diachenko spojrzał na notatkę o okupie i stwierdził, że wysłał ją automatyczny skrypt atakujący niezabezpieczone bazy danych. Według niego, skrypt został zaprojektowany do usuwania danych po zebraniu ich przez hakerów, ale mechanizm nie zadziałał. Jego teoria nie została jednak w żaden sposób zweryfikowana.
Choice Hotels obwinia swojego dostawcę usług hostingowych:
„Omówiliśmy tę sprawę z dostawcą i nie będziemy z nimi współpracować w przyszłości” – firma napisała w oświadczeniu. „Oceniamy relacje z innymi dostawcami i pracujemy nad wprowadzeniem dodatkowych kontroli, aby zapobiec takim zdarzeniom w przyszłości. Wprowadzamy również Program Odpowiedzialnego Przechowywania Informacji i cieszymy się ze współpracy z panem Diachenko, który pomaga nam w wykrywaniu wszelkich luk ”.
Każdy, kto ostatnio przebywał w Choice Hotels, powinien uważnie śledzić swoją skrzynkę odbiorczą, aby nie stać się kolejną ofiarą wyłudzenia informacji poprzez otwarcie wiadomości e-mail, wiadomości błyskawicznej lub wiadomości tekstowej. Hakerzy zwykle wykorzystują skradzione dane w celu nakłonienia do zapłacenia okupu a nawet przekazania gotówki.