Naujas duomenų pažeidimas galėjo paveikti daugiau nei 10 milijonų viešbučių klientų visame pasaulyje
Populiari viešbučių užsakymo paslauga atskleidė daugiau nei 10 milijonų viešbučio svečių, aplankiusių visame pasaulyje, duomenis.
Incidentą sukėlė blogai sukonfigūruotas AWS kaušas. Remiantis saugos ekspertų, dirbančių su „Website Planet“, kurie atrado nesandarų „Amazon“ serverių kibirą, ataskaita, buvo paveikti milžiniški 24 gigabaitai duomenų. Daugelis įrašų apima kelių svečių, kurie dalinosi tą pačią rezervaciją, informaciją, todėl nukentėjusių asmenų skaičius yra dar didesnis nei bendras užsakymo įrašų skaičius.
Nuostabu, kad „Web Planet“ praneša, kad įrašuose, kurie tęsiasi iki 2013 m., Buvo daugelį metų vertės kreditinės kortelės informacija, laikoma serveryje „be jokios apsaugos“. Siekdama geriau įsivaizduoti apie apimtį ir didžiulį žmonių skaičių, kuriuos gali paveikti incidentas, „Web Planet“ pareiškė, kad nuo 2020 m. Rugpjūčio per metus, kai užsakymai yra beveik visų laikų žemiausi dėl Covid-19 pandemija.
Nutekančioje duomenų bazėje esanti informacija viršija kreditinių kortelių įrašus ir apima klientų vardus, el. Laiškus, asmens kodus pagal kilmės šalį ir atitinkamus asmens tapatybės dokumentus bei telefono numerius. Kredito kortelės informacija neužtikrintoje duomenų bazėje apima turėtojo vardą, kortelės numerį ir CVV - iš esmės kiekvieną detalę, kurią jums reikia naudoti ta kortele ir mokėti už viską internete.
Buvo paviešintos kreditinės kortelės ir asmeninė informacija
Nutekančioje duomenų bazėje taip pat buvo duomenų iš daugelio skirtingų populiarių rezervavimo portalų, įskaitant „Booking dot com“, „Hotels dot com“ ir „Expedia“. Tikėtina, kad tai turi įtakos kiekvienai rezervavimo ir rezervavimo paslaugai, naudojančiai „Cloud Hospitality“ paslaugas. Tačiau „Website Planet“ aiškiai nurodė, kad atskiros svetainės, naudojančios bendrą debesų paslaugą, nėra kaltos dėl duomenų poveikio.
Nėra duomenų, kad kas nors būtų pasiekęs duomenis, kol „Web Planet“ atrado blogai sukonfigūruotą duomenų bazę, tačiau jei taip buvo iš tikrųjų, saugumo ekspertai teigė, kad nukentėjusiems žmonėms tai bus „didžiulė“.
Sugedusi duomenų bazė buvo pašalinta iškart po to, kai „Web Planet“ susisiekė tiesiogiai su „Amazon Web Services“, kad informuotų apie tai.