Datele a milioane de oaspeți ai hotelurilor, expuse pe un server cloud slab securizat


Baza de date accesibilă oricui conținea nume complete, informații de identificare personală și datele cardurilor de credit ale clienților unor hoteluri

Pe un server nesecurizat, accesibil oricui, a fost descoperită o bază de date ce conținea informații despre milioane de oaspeți ai unor hoteluri din întreaga lume. Datele erau stocate pe un bucket S3 Amazon Web Services (AWS) configurat necorespunzător, aparținând Prestige Software, o companie din Spania care vinde soluții software de gestiune a rezervărilor de hoteluri.

Breșa de date, raportată de Website Planet, a provenit din software-ul de gestiune a canalelor Cloud Hospitality folosit de compania spaniolă, care este utilizat de hoteluri pentru a automatiza statusul locurilor de muncă vacante pe diferite site-uri de rezervare. Întrucât platforma este utilizată pentru conectarea la site-urile de rezervări, unele dintre date au provenit de la agenții de turism online populare, cum ar fi Expedia, Booking și Agoda, deși acestea nu pot fi acuzate direct de expunerea datelor.

Un articol pe aceeași temă: Five tips for keeping your database secure

Datele au cuprins peste 10 milioane de fișiere de jurnal, inclusiv informații care datează din 2013. Baza de date conținea o serie de informații de identificare personală (PII), cum ar fi numele complete ale oaspeților, numerele de identificare naționale, adresele de e-mail, numerele de telefon, precum și detalii precum numărul rezervării, datele sejurului, numărul oaspeților și numele acestora și prețul plătit. Mai mult decât atât, bucket-ul S3 conținea și date financiare valoroase, cum ar fi numerele cardurilor de credit, numele titularilor, codurile de verificare ale acestora (CVV) și datele de expirare.

Website Planet a confirmat, de asemenea, veridicitatea datelor, verificând dacă un eșantion de adrese de e-mail compromis aparținea unor persoane reale. Deși în prezent nu există dovezi ale faptului că ar fi accesat cineva aceste date, cercetătorii nu pot garanta că datele nu au fost accesate înainte de a fi descoperit acest server slab securizat. Cercetătorii au contactat, de asemenea, AWS, care a luat măsuri pentru securizarea bucket-ului.

Cantitatea și varietatea datelor expuse le-ar putea oferi hackerilor o mulțime de materiale pentru orice fel de activitate malițioasă pe web. Oaspeții hotelului ar putea fi victimele furtului de identitate, a phishing-ului și a altor atacuri de inginerie socială și chiar a fraudei financiare, din cauza scurgerii datelor cardului de credit. Cu toate acestea, hackerii black hat au ca alternativă să nu compromită în mod implicit datele; în schimb, le-ar putea vinde pe dark web.

Un articol pe aceeași temă: Datele a 10,6 milioane de oașpeți ai lanțului hotelier MGM Resorts expuse într-o breșă de date

Companiile care respectă legile privind protecția datelor, în special Regulamentul General privind Protecția Datelor din Uniunea Europeană (GDPR), se pot confrunta cu consecințe grave pentru astfel de incidente de securitate.

Amer Owaida November 11, 2020

Lasa un comentariu