Datele a milioane de oaspeţi ai hotelurilor, expuse pe un server cloud slab securizat
O bază de date ce conţinea informaţii despre milioane de oaspeţi ai unor hoteluri din întreaga lume a fost descoperită pe un server nesecurizat, accesibil oricui.
Datele erau stocate pe un bucket S3 Amazon Web Services (AWS) configurat necorespunzător, aparţinând Prestige Software, o companie din Spania care vinde soluţii software de gestiune a rezervărilor de hoteluri, se arată pe blogul din România al producătorului de soluţii de securitate Eset.
Breşa de date, raportată de Website Planet, a provenit din software-ul de gestiune a canalelor Cloud Hospitality folosit de compania spaniolă, care este utilizat de hoteluri pentru a automatiza statusul locurilor de muncă vacante pe diferite site-uri de rezervare. Întrucât platforma este utilizată pentru conectarea la site-urile de rezervări, unele dintre date au provenit de la agenţii de turism online populare, cum ar fi Expedia, Booking şi Agoda, deşi acestea nu pot fi acuzate direct de expunerea datelor.
Datele au cuprins peste 10 milioane de fişiere de jurnal, inclusiv informaţii care datează din 2013. Baza de date conţinea o serie de informaţii de identificare personală (PII), cum ar fi numele complete ale oaspeţilor, numerele de identificare naţionale, adresele de e-mail, numerele de telefon, precum şi detalii precum numărul rezervării, datele sejurului, numărul oaspeţilor şi numele acestora şi preţul plătit. Mai mult decât atât, bucket-ul S3 conţinea şi date financiare valoroase, cum ar fi numerele cardurilor de credit, numele titularilor, codurile de verificare ale acestora (CVV) şi datele de expirare.
Website Planet a confirmat, de asemenea, veridicitatea datelor, verificând dacă un eşantion de adrese de e-mail compromis aparţinea unor persoane reale. Deşi în prezent nu există dovezi ale faptului că ar fi accesat cineva aceste date, cercetătorii nu pot garanta că datele nu au fost accesate înainte de a fi descoperit acest server slab securizat. Cercetătorii au contactat, de asemenea, AWS, care a luat măsuri pentru securizarea bucket-ului.
Cantitatea şi varietatea datelor expuse le-ar putea oferi hackerilor o mulţime de materiale pentru orice fel de activitate maliţioasă pe web. Oaspeţii hotelului ar putea fi victimele furtului de identitate, a phishing-ului şi a altor atacuri de inginerie socială şi chiar a fraudei financiare, din cauza scurgerii datelor cardului de credit. Cu toate acestea, hackerii black hat au ca alternativă să nu compromită în mod implicit datele; în schimb, le-ar putea vinde pe dark web.
Urmărește Business Magazin
Citeşte pe zf.ro
Citeşte pe mediafax.ro
Citeşte pe Alephnews
Citeşte pe smartradio.ro
Citeşte pe comedymall.ro
Citeşte pe prosport.ro
Citeşte pe Gandul.ro
Citeşte pe MediaFLUX.ro
Citeşte pe MonitorulApararii.ro
Citeşte pe MonitorulJustitiei.ro
Citeşte pe zf.ro