Ein neuer Datenverstoß hätte über 10 Millionen Hotelkunden auf der ganzen Welt betreffen können
Ein beliebter Hotelbuchungsservice hat die Daten von über 10 Millionen Hotelgästen bekannt gegeben, die Standorte auf der ganzen Welt besucht haben.
Der Vorfall wurde durch einen schlecht konfigurierten AWS-Bucket verursacht. Laut einem Bericht von Sicherheitsexperten, die mit Website Planet zusammenarbeiten und den undichten Amazon-Server-Bucket entdeckt haben, waren satte 24 Gigabyte Daten betroffen. Viele der Aufzeichnungen enthalten die Informationen mehrerer Gäste, die dieselbe Reservierung geteilt haben, sodass die Anzahl der betroffenen Personen sogar höher ist als die Gesamtzahl der Buchungsaufzeichnungen.
Erstaunlicherweise berichtet Web Planet, dass die Aufzeichnungen, die bis 2013 zurückreichen, Kreditkarteninformationen im Wert von Jahren enthielten, die "ohne Schutz" auf dem Server gespeichert wurden. Um einen besseren Überblick über den Umfang und die große Anzahl von Personen zu erhalten, die von dem Vorfall betroffen sein könnten, gab Web Planet an, dass es ab August 2020 180.000 Datenbankdatensätze gab, in einem Jahr, in dem die Buchungen aufgrund von fast einem Allzeittief liegen die Covid-19-Pandemie.
Die in der undichten Datenbank enthaltenen Informationen gehen weit über Kreditkartenaufzeichnungen hinaus und umfassen auch Kundennamen, E-Mails, ID-Nummern nach Herkunftsland sowie entsprechende persönliche ID-Dokumente und Telefonnummern. Die Kreditkarteninformationen in der ungesicherten Datenbank umfassen den Namen des Inhabers, die Kartennummer und den CVV - im Wesentlichen jedes einzelne Detail, das Sie benötigen, um diese Karte zu verwenden und online für alles zu bezahlen.
Kreditkarten und persönliche Informationen wurden offengelegt
Die undichte Datenbank enthielt auch Daten von verschiedenen beliebten Buchungsportalen, darunter Booking Dot Com, Hotels Dot Com und Expedia. Möglicherweise ist jeder einzelne Buchungs- und Reservierungsservice, der die Services von Cloud Hospitality nutzt, betroffen. Website Planet machte jedoch deutlich, dass die einzelnen Websites, die den gemeinsam genutzten Cloud-Dienst nutzen, nicht für die Datenexposition verantwortlich sind.
Es gibt keine Hinweise darauf, dass jemand auf die Daten zugegriffen hat, bevor Web Planet die schlecht konfigurierte Datenbank entdeckt hat. Wenn dies jedoch tatsächlich der Fall wäre, hätten die Sicherheitsexperten "enorme Auswirkungen" auf die Betroffenen.
Die fehlerhafte Datenbank wurde sofort entfernt, nachdem Web Planet Amazon Web Services direkt kontaktiert hatte, um sie darüber zu informieren.