Off-Strip Casino in Las Vegas getroffen door Cyberattack

Off-Strip Casino in Las Vegas getroffen door Cyberattack

Een hotel-casino buiten de beroemde Las Vegas Strip is eerder dit jaar het doelwit geweest van een cyberaanval. Dat is onlangs openbaar geworden via gerechtelijke documenten in een rechtszaak in New York tussen twee partijen die aan het hotel zijn verbonden. Het OYO Las Vegas hotel-casino werd tussen 8 en 11 januari getroffen door een digitale inbraak waarbij naar verluidt gevoelige gegevens van ongeveer 4.700 gasten, medewerkers en zakenpartners zijn buitgemaakt.

Het hotel is eigendom van OYO Hotels, een Indiase hotelketen, en werd beheerd door Highgate Hotels Inc., een in New York gevestigd hotelmanagementbedrijf. De twee ondernemingen zijn momenteel verwikkeld in meerdere juridische geschillen over vermeende contractbreuken — onder meer in New York en Delaware — die verschillende hotels omvatten. Geen van beide bedrijven, noch hun advocaten, wilde reageren op vragen van de Las Vegas Review-Journal.

Beheerfout en rechtszaken

Uit rechtbankdocumenten blijkt dat de cyberaanval op het Las Vegas-hotel een kwestie van dataprivacy betrof die plaatsvond onder het beheer van Highgate. OYO beschuldigt Highgate van duidelijke nalatigheid en het niet nemen van verantwoordelijkheid voor de aanval. Het Indiase concern heeft Highgate inmiddels officieel in gebreke gesteld en het managementcontract opgezegd, onder verwijzing naar “ernstige en onherstelbare” schendingen van de overeenkomst en “significante financiële tegenvallers” bij het hotel, dat tegenover het MGM Grand aan Tropicana Avenue ligt.

De kwestie kwam aan het licht nadat Highgate in New York een rechtszaak aanspande over haar ontslag bij het OYO Times Square Hotel. Het bedrijf stelt dat de beëindiging van het contract in augustus 2025 in strijd was met de arbeidswetgeving van de staat New York, die 90 dagen opzegtermijn voorschrijft bij bepaalde ontslagen. OYO verweerde zich door te wijzen op de Las Vegas-cyberaanval als bewijs van “ernstig gebrekkige IT-praktijken” bij Highgate.

Gegevenslek en vertraagde melding

Volgens informatie van het Openbaar Ministerie van de Amerikaanse staat Maine meldde OYO de datalek pas op 18 september, ruim acht maanden na het incident. Dat gebeurde nadat cybersecurityplatform BreachSense.com had gemeld dat de ransomwaregroep LockBit 3.0 zo’n 30 gigabyte aan bedrijfsgegevens had gelekt op het dark web. Het zou gaan om persoonlijke en financiële gegevens van gasten en medewerkers, interne financiële rapporten en documenten met betrekking tot de casino-exploitatie. Op 9 oktober verstuurde Paragon Tropicana Inc., een dochteronderneming van Paragon Gaming (de exploitant van OYO Las Vegas), een brief aan mogelijk getroffen personen waarin zij werden geïnformeerd over het datalek.

Vijf dagen later bracht Crain’s New York Business het nieuws naar buiten, in het kader van de arbeidszaak in New York. Het bericht baseerde zich op een brief van een OYO-topfunctionaris aan Highgate, waarin de beëindiging van het managementcontract voor het Las Vegas-hotel werd toegelicht — een brief die als bewijsstuk was ingebracht in de rechtszaak.

Recente golf van cyberaanvallen in Las Vegas

De aanval op OYO Las Vegas is niet op zichzelf staand. De afgelopen jaren zijn meerdere casino’s in de stad getroffen door cybercriminaliteit. Zo werd Boyd Gaming Corp., een in Las Vegas gevestigd casinobedrijf, eerder dit jaar slachtoffer van een hack waarbij een externe partij toegang kreeg tot het interne IT-systeem. Volgens een verklaring aan de Amerikaanse beurswaakhond SEC had de aanval geen invloed op de bedrijfsvoering.

In september 2023 werd MGM Resorts International getroffen door een grootschalige ransomwareaanval van de groep Scattered Spider, die zorgde voor systeemuitval bij hotels, gokautomaten en digitale kamersleutels. In dezelfde maand maakte Caesars Entertainment bekend eveneens slachtoffer te zijn geworden van een vergelijkbare aanval, waarbij het naar verluidt een miljoenenbedrag betaalde om te voorkomen dat gestolen klantgegevens online zouden worden gepubliceerd.

Over het OYO Hotel & Casino

Het bevindt zich net off-Strip, aan de zuidkant van de beroemde Las Vegas Strip, waardoor het gunstig ligt ten opzichte van grotere resorts maar iets minder middenin de drukte. Het resort heeft meerdere namen gehad waaronder het Hooters Casino Hotel, van 2006 tot en met 2019. Na de verkoop volgde er een rebranding naar OYO Hotel & Casino. Het oorspronkelijke Hooters-restaurant in het hotel bleef, via een franchiseovereenkomst tussen Hooters of America en het hotel onder OYO-leiding. Highgate nam het hotelmanagement op zich, terwijl de casinobeheerder (Paragon Gaming) het casino zou blijven exploiteren. Toen wij met Team Pokeren.nl in 2024 in Las Vegas waren zijn we ook een avondje bij OYO geweest. Dit is namelijk één van de weinige plekken waar je $1 roulette en $1 blackjack kunt spelen. Aan de roulette tafel hebben we ons uitstekend vermaakt maar het spelen van $1 blackjack vonden we toch wel erg geestdodend. 

Lees meer over Pokeren in Las Vegas