HOAX: Sleutelkaarten hotels bevatten kredietkaartnummers en andere persoonlijke gegevens

Het betreft hier een hoax die, oorspronkelijk in het Engels, reeds op het internet circuleert sinds 2003. De nepwaarschuwing ontstond aanvankelijk naar aanleiding van een fraudeonderzoek in Californië (VS), waarvan informatie gelekt was en zich viraal als een kettingbrief begon te verspreiden. Op dat moment was het onderzoek echter nog niet afgerond, en waren er nog geen definitieve conclusies. Nadien bleek dat het ging om een geïsoleerd geval, en niet om een algemeen probleem met alle sleutelkaarten, of met systemen van meerdere hotels.

Uit het onderzoek bleek dat, in de beginjaren van de magneetkaartsystemen voor hotels, het inderdaad mogelijk was om persoonlijke informatie op de kaart te plaatsen, inclusief naam, adres en kredietkaartnummer. Wanneer de software die mogelijkheden aanbood, is het mogelijk dat, in uitzonderlijk geval, een niet goed geïnformeerde hotelmedewerker die gegevens had ingegeven op de sleutelkaart van een klant, ook al was dit niet toegestaan door het hotelbeleid. Inmiddels zijn de systemen gewijzigd waardoor dit niet meer kan gebeuren, hetzij opzettelijk of per ongeluk, om potentieel fraudegevaar met privégegevens te voorkomen. De enige informatie die effectief wordt weggeschreven op de kaart, bevat enkel informatie zoals kamernummer, begin- en einddatum, en toegangscode. Op zich is het systeem bovendien veel veiliger dan een traditionele sleutel, omdat je bij eventueel verlies of diefstal van de kaart niet het risico loopt dat een crimineel toegang krijgt tot je hotelkamer terwijl je niet aanwezig bent. De gegevens op de sleutelkaart is immers zodanig gecodeerd, dat een normale kaartlezer dit niet kan ontcijferen, waardoor criminelen in het bezit van die kaart niet kunnen achterhalen tot welke kamer de kaart toegang geeft.

Barton H. Hacker, adjunct-directeur van overheidszaken voor de Ohio Hotel and Lodging Association, legt uit dat magneetkaarten drie sporen hebben waarop informatie kan worden weggeschreven. Banken maken gebruik van twee sporen, hotelkaarten maken gebruik van slechts één spoor. De software die geleverd wordt aan hotels, laat niet toe dat er meer dan één spoor gebruikt wordt, waardoor het wegschrijven van persoonlijke informatie op de kaart niet mogelijk is. Dit wordt ook bevestigd door Hilton en andere hotelketens. Snopes heeft bovendien de proef op de som genomen door de informatie op een sleutelkaart zelf te scannen met een kaartlezer die vrij te koop is, en ze konden niets van informatie vinden die van persoonlijke aard zou zijn. Ook Computerworld heeft de geruchten onderzocht door meer dan 100 sleutelkaarten van hotels te testen, met hetzelfde resultaat.

Hotels hebben ook geen nood aan het wegschrijven van persoonlijke gegevens op een sleutelkaart. Dit zou enkel meer werk en kosten met zich meebrengen, terwijl die gegevens sowieso beter in hun computersysteem worden opgeslagen. Zelfs bij hotelketens waar de klant toegang kan krijgen tot betaalde diensten of goederen (bv. toegang tot bepaalde faciliteiten die niet in de prijs zijn inbegrepen, aankopen in de hotelshop, ...) is er geen gevaar voor identiteitsfraude. De kaart fungeert immers sowieso niet als bank- of kredietkaart, maar bewaart de verrichtingsgegevens of stuurt ze door op basis van kamernummer, waarna het computersysteem pas overgaat tot effectieve betaling.

Wel is het zo dat verloren of gestolen magneetkaarten door criminelen kunnen worden gebruikt voor frauduleuze doeleinden. Ze kunnen immers de kaart leegmaken en herprogrammeren om te dienen als fictieve bankkaart of kredietkaart, en zo betalingen verrichten of geld afhalen. Om dit te kunnen doen, moeten ze echter eerst in het bezit zijn van effectieve bankgegevens, die ze niet zullen vinden op de sleutelkaart van een hotel, waardoor er geen gevaar is voor de klant. Bovendien heeft deze fraudetechniek weinig te maken met specifiek hotelkaarten, aangezien eender welke magneetkaart - gaande van een bankkaart tot een toegangskaart van een bedrijf of een klantenkaart van een winkelketen - hiervoor kan dienen. Zolang er geen bankgegevens op je magneetkaart staan, loop je hieromtrent zelf echter geen gevaar. Uitzondering hierop zijn natuurlijk je eigen bank- en kredietkaarten, maar ook die zijn met coderingstechnieken goed beveiligd, en het spreekt voor zich dat bij verlies of diefstal van een bankkaart je die best meteen laat blokkeren.

De sleutelkaarten-hoax wordt reeds sinds 2003 ontkracht door tal van websites zoals Hoax-Slayer en Snopes.com, maar niettemin verscheen er begin 2012 vooralsnog een Nederlandstalige versie van de waarschuwing. Vervolgens begon het bericht zich in de loop van 2012 ook elders te verspreiden op websites van reisorganisaties, zoals op Reisleiders.be, KBO afdeling Goes, Independent Travel, en in april 2012 nam zelfs de Politie van Sint-Truiden de hoax over. Niettemin zorgt de nepwaarschuwing enkel voor onnodige onrust en is het aldus aangeraden om de hoax niet verder te verspreiden.

Ook het advies om de magneetkaart te vernietigen aan het einde van je verblijf, kan best niet worden opgevolgd. In tegenstelling tot de bewering dat de klant hiertoe het recht zou hebben, is men in vele gevallen wel degelijk verplicht om de sleutelkaart na afloop terug te bezorgen aan het hotel. De huisregels hieromtrent kunnen verschillen van hotel tot hotel, en staan meestal vermeld in de algemene voorwaarden. Enkele voorbeelden:

• • B&B Svilla te Turnhout: "Sleutelkaarten dienen bij check-out terug afgegeven te worden aan de receptie. Bij niet teruggave zal een bedrag van 5 EUR per kaart worden gefactureerd of afgehouden van de kredietkaart."

  • Hotel Stayen in Sint-Truiden: "Sleutelkaarten dienen bij check-out terug afgegeven te worden aan de receptie. Bij niet teruggave zal een bedrag van 5 EUR per kaart worden gefactureerd."

  • Pergola Club Hotel & Spa in Malta: "Sleutelkaarten moeten voor vertrek aan de receptie afgegeven worden. Verlies van een sleutel kost € 05.00"

  • Beach Properties of Hilton Head in South Carolina: "Beach Properties will provide this key card, and the guest will be responsible for leaving it in the villa upon departure. Failure to leave this key card will result in a $50 charge to the credit card on file" [$50 USD is ongeveer 35 EUR]

  • Shervani Hotels in India: "The guest should obtain the 'Key Card' from the reception. The key card must be returned at the time of checkout. In case of loss or damage of key card, Rs.100/- will be charged in the room bill." [Rs. 100 is ongeveer 1 EUR]

  • Hotel Kimen in Kroatië: "Please handle the key-card with care. In case of damaged or lost of your key-card during time of your stay we will charge 150,00 Kn compensation." [150 Kn is ongeveer 20 EUR]

Bronnen:

- http://www.hoax-slayer.com/hotel-key-card.html

- http://web.archive.org/web/20081222101912/http://www.cityofpasadena.net/police/media/MediaReleases/HotelCardKeyUpdate.asp

- http://urbanlegends.about.com/library/bl_hotel_keycards.htm

- http://www.bizjournals.com/dayton/stories/1998/10/05/focus2.html

- http://www.vijaydandapani.com/2009/05/key-card-security-the-urban-myth-redux.html

- http://www.snopes.com/crime/warnings/hotelkey.asp

- http://www.computerworld.com/s/article/107701/It_s_Just_the_Key_to_Your_Room

- http://www.smartertravel.com/travel-advice/are-hotel-key-cards-a-security-risk.html?id=1617415

- http://groups.omni-chat.com/De%20Vriendenkring/Tips,%20waarschuwingen,%20info.ocgp?thread=1605313 (bron van de hoax)

- http://reisleiders.be/ned/Reisleiders/Nieuwsbrieven2013/Nieuwsbrief2013_10.pdf (bron van de hoax)

- http://www.independenttravel.be/algemeen/belangrijke-berichten- (bron van de hoax)

- http://www.svilla.be/downloads/algemenevoorwaarden.pdf

- http://www.hotelstayen.com/nl/algemene-voorwaarden

- http://www.pergolahotel.com.mt/nl/page.aspx?pid=121

- http://www.beach-property.com/terms-conditions.asp

- http://www.shervanihotels.com/terms.asp

- http://www.hotel-kimen.com/en/content/house_rules