Un large éventail d'informations sensibles concernant des millions de clients de l'hôtel a été découvert sur un serveur non sécurisé et accessible à tous. Les données étaient stockées sur un seau S3 d'Amazon Web Services (AWS) mal configuré, appartenant à Prestige Software, une société espagnole qui vend des logiciels de gestion des réservations hôtelières.
La fuite, signalée par Website Planet, provient du logiciel de gestion des canaux de distribution de la société espagnole Cloud Hospitality, qui est utilisé par les hôtels pour automatiser le statut de leurs vacances sur différents sites de réservation. Comme la plateforme est utilisée pour se connecter aux sites de réservation, certaines des données proviennent d'agences de voyage en ligne populaires, telles qu'Expedia, Booking.com et Agoda, bien qu'on ne puisse pas leur reprocher l'exposition des données.
Les données comprenaient plus de 10 millions de fichiers log, dont certains remontent jusqu'en 2013, et consistaient en une série d'informations personnelles identifiables (IPI), telles que les noms complets des invités, les numéros d'identification nationaux, les adresses électroniques, les numéros de téléphone, ainsi que des détails tels que le numéro de réservation, les dates, le nombre d'invités et leurs noms et le prix payé. En outre, le seau S3 du système AWS qui fuyait contenait également de précieuses données financières, notamment des numéros de carte de crédit, des codes de vérification de carte de crédit (CVV) et des dates d'expiration, ainsi que le nom des titulaires de la carte.
Website Planet a également confirmé la véracité des données en vérifiant qu'un échantillon des adresses électroniques ayant fait l'objet de la fuite appartenait à des personnes réelles. Bien qu'il n'y ait actuellement aucune preuve que des acteurs de la menace aient accédé aux données, les chercheurs ne peuvent pas garantir que les données n'ont pas été consultées avant qu'ils ne découvrent le serveur mal configuré. Les chercheurs ont également contacté AWS et le seau a depuis été sécurisé.
La quantité et la variété des enregistrements exposés donneraient aux pirates informatiques beaucoup de matière pour toutes sortes d'activités malveillantes. Les clients d'hôtels pourraient être victimes de vol d'identité, de hameçonnage et d'autres types d'attaques d'ingénierie sociale, et même de fraude financière, en raison de la fuite des données de carte de crédit. Cependant, les chapeaux noirs n'ont pas besoin d'abuser eux-mêmes des données; ils pourraient les vendre en lots sur le Dark Web.
LECTURE CONNEXE : Marriott à nouveau piraté: 5,2 millions d’usagers touchés
Les entreprises qui enfreignent les lois sur la protection des données, notamment le Règlement général sur la protection des données de l'Union européenne (RPDG), peuvent être confrontées à de graves conséquences liés à un manque de respect de la vie privée et de sécurité.