Nowe naruszenie danych mogło mieć wpływ na ponad 10 milionów klientów hoteli na całym świecie

Popularny serwis rezerwacji hotelowych ujawnił dane ponad 10 milionów gości hotelowych, którzy odwiedzili lokalizacje na całym świecie.

Incydent został spowodowany przez źle skonfigurowany zasobnik AWS. Według raportu ekspertów ds. Bezpieczeństwa współpracujących z Website Planet, którzy odkryli nieszczelny pakiet serwerów Amazon, dotyczyło to aż 24 gigabajtów danych. Wiele zapisów zawiera informacje o wielu gościach, którzy korzystali z tej samej rezerwacji, więc liczba dotkniętych osób jest nawet wyższa niż całkowita liczba zapisów rezerwacji.

Co zadziwiające, Web Planet donosi, że rekordy sięgające 2013 r. Zawierały informacje o kartach kredytowych z lat, przechowywane na serwerze „bez żadnej ochrony”. Aby lepiej zrozumieć zakres i ogromną liczbę osób, które mogą zostać dotknięte incydentem, firma Web Planet podała, że istniało 180 000 rekordów bazy danych tylko od sierpnia 2020 r., W roku, w którym rezerwacje są bliskie najniższego w historii pandemia Covid-19.

Informacje zawarte w nieszczelnej bazie danych wykraczają daleko poza zapisy kart kredytowych i obejmują również nazwiska klientów, adresy e-mail, numery identyfikacyjne według kraju pochodzenia oraz odpowiednie dokumenty osobiste i numery telefonów. Informacje o karcie kredytowej w niezabezpieczonej bazie danych obejmują imię i nazwisko posiadacza, numer karty i CVV - w zasadzie każdy szczegół potrzebny do korzystania z tej karty i płacenia za wszystko online.

Karty kredytowe i dane osobowe zostały ujawnione

Nieszczelna baza danych zawierała również dane z wielu różnych popularnych portali rezerwacyjnych, w tym między innymi Booking dot com, Hotels dot com i Expedia. Istnieje prawdopodobieństwo, że dotyczy to każdej pojedynczej usługi rezerwacji i rezerwacji korzystającej z usług Cloud Hospitality. Jednak Website Planet wyjaśniło, że poszczególne witryny korzystające z usługi w chmurze współdzielonej nie są winne ujawnienia danych.

Nie ma dowodów na to, że ktoś uzyskał dostęp do danych, zanim Web Planet odkrył źle skonfigurowaną bazę danych, ale gdyby tak było, eksperci ds. Bezpieczeństwa stwierdzili, że będzie to miało „ogromne konsekwencje” dla osób, których to dotyczy.

Wadliwa baza danych została usunięta natychmiast po skontaktowaniu się Web Planet bezpośrednio z Amazon Web Services w celu poinformowania ich o tym.