Diversas informações confidenciais de milhões de clientes de hotéis de diferentes partes do mundo foram expostas em um vazamento de dados devido a um servidor mal configurado. As informações estavam armazenadas em um bucket da Amazon Web Services (AWS) S3 pertencente à Prestige Software, uma empresa com sede na Espanha que vende software para o gerenciamento de reservas de hotéis.
A exposição das informações, divulgada pelo Website Planet, teve origem no software Channels Manager da Prestige Software, que é utilizado por hotéis para automatizar o status de vagas em vários sites de reservas. Como a plataforma é utilizada para realizar a conexão com os sites de reservas, alguns dos dados são enviados por sites bastante conhecidos, como Expedia, Booking.com e Agoda, entre outros. É importante destacar que os sites não têm qualquer responsabilidade pela exposição dos dados que ocorreu nesse incidente.
Os dados vazados abrangiam mais de 10 milhões de arquivos de registros, incluindo informações que datavam de 2013. Entre os dados, estava uma grande quantidade de informações de identificação pessoal (PII), como nomes completos de clientes, números de identidade, endereços de e-mail, números de telefone, bem como detalhes como o número de reserva, datas, número de acompanhantes e seus nomes e o preço pago. Além disso, o bucket S3 também continha dados financeiros, como números de cartões de crédito, o nome do titular do cartão, códigos de verificação do cartão de crédito (CVV) e data de validade.
O Website Planet também confirmou a veracidade dos dados ao verificar se amostras dos endereços de e-mail vazados pertenciam a pessoas reais. Embora atualmente não haja evidências de que qualquer cibercriminoso tenha obtido acesso aos dados expostos, os investigadores do incidente não podem garantir que ninguém tenha acessado os dados antes do servidor mal configurado ser descoberto. Os investigadores também contataram a Amazon Web Services e os dados passaram a estar devidamente protegidos.
A quantidade e variedade de registros expostos oferece aos cibercriminosos material que pode ser utilizado para realizar diversos tipos de atividades maliciosas. Os clientes que tiveram suas informações vazadas podem ser vítimas de roubo de identidade, phishing e outros tipos de ataques de engenharia social e até mesmo golpes financeiros devido à exposição de dados de cartões de crédito. Além disso, não podemos esquecer que existe a possibilidade de que esses dados sejam vendidos na dark web.
As empresas que violam as leis de proteção de dados, em particular a Lei Geral de Proteção de Dados (LGPD), podem enfrentar sérias consequências por falhas na privacidade e segurança.