Una nuova violazione dei dati potrebbe aver colpito oltre 10 milioni di clienti di hotel in tutto il mondo
Un popolare servizio di prenotazione alberghiera ha esposto i dati di oltre 10 milioni di ospiti che hanno visitato località in tutto il mondo.
L'incidente è stato causato da un bucket AWS configurato male. Secondo un rapporto di esperti di sicurezza che lavorano con Website Planet che hanno scoperto il bucket di server Amazon che perde, sono stati colpiti ben 24 gigabyte di dati. Molti dei record includono le informazioni di più ospiti che condividevano la stessa prenotazione, quindi il numero di persone interessate è persino superiore al numero totale di record di prenotazione.
Sorprendentemente, Web Planet riferisce che i record, che risalgono al 2013, contenevano anni di informazioni sulla carta di credito, conservati sul server "senza alcuna protezione". Per dare un'idea migliore della portata e dell'enorme numero di persone che potrebbero essere colpite dall'incidente, Web Planet ha dichiarato che c'erano 180.000 record di database da solo agosto 2020, in un anno in cui le prenotazioni sono vicine al minimo storico a causa di la pandemia di Covid-19.
Le informazioni contenute nel database che perde vanno ben oltre i record della carta di credito e includono anche nomi di clienti, e-mail, numeri di identificazione in base al paese di origine e rispettivi documenti di identità personali e numeri di telefono. Le informazioni sulla carta di credito nel database non protetto includono il nome del titolare, il numero della carta e il CVV, essenzialmente ogni singolo dettaglio necessario per utilizzare quella carta e pagare qualsiasi cosa online.
Sono state scoperte carte di credito e informazioni personali
Il database che perde conteneva anche dati da una serie di diversi portali di prenotazione popolari, tra cui Booking dot com, Hotels dot com e Expedia, tra gli altri. È probabile che ogni singolo servizio di prenotazione e prenotazione che utilizza i servizi di Cloud Hospitality sia interessato. Tuttavia, Website Planet ha chiarito che i singoli siti che utilizzano il servizio cloud condiviso non sono responsabili dell'esposizione dei dati.
Non ci sono prove che qualcuno abbia avuto accesso ai dati prima che Web Planet scoprisse il database mal configurato, ma se così fosse, gli esperti di sicurezza hanno detto che ci sarebbero "enormi implicazioni" per le persone colpite.
Il database difettoso è stato rimosso immediatamente dopo che Web Planet ha contattato direttamente Amazon Web Services per informarli.
