Informe: La plataforma de reservas de hoteles expuso a millones de personas a una filtración masiva de datos
En este artículo, Datos de clientes expuestos ¿Quién violó los datos? Impacto en los huéspedes del hotel Impacto en el software Prestige Estado de los datos Protección de sus datos ¿Qué es Website Planet?
Publicado originalmente el 6 de noviembre de 2020 Empresa: Prestige Software, con sede en España.
Severidad: Alta
Tamaño: 24,4 GB, más de 10.000.000 de archivos expuestos en total
Formato de almacenamiento de datos: AWSS3Bucket mal configurado
Afectado Países: En todo el mundo
Cortesía del equipo de seguridad de nuestro sitio web Planet, podemos descubrir que una plataforma de reserva de hoteles ha estado exponiendo datos altamente confidenciales de millones de huéspedes de hoteles en todo el mundo, que se remontan a 2013. Contiene detalles de tarjetas de crédito. de 100.000 personas.
Con sede en Madrid y Barcelona, Prestige Software vende a hoteles una plataforma de gestión de canales llamada CloudHospitality que automatiza los servicios en sitios de reservas online como Expedia y Booking.com. Formato de nombre de dominio común.
La empresa almacenó años de datos de tarjetas de crédito de huéspedes de hoteles y agentes de viajes sin ninguna protección, poniendo a millones de personas en riesgo de fraude y ciberataques. Datos de cliente disponibles públicamente Datos PII: nombre completo del huésped del hotel, dirección de correo electrónico, número de identificación nacional y número de teléfono Detalles de la tarjeta de crédito: número de tarjeta, nombre del titular de la tarjeta, CVV y fecha de vencimiento Detalles de pago: costo total de la reserva del hotel Detalles de la reserva S3: número de reserva, fechas de estancia, precio pagado por noche, cualquier otra solicitud realizada por el huésped, número de personas, nombres de los huéspedes, etc.
El software Prestige almacenó datos de hoteles en la nube en un depósito S3 de Amazon Web Services (AWS) mal configurado, una forma popular de almacenamiento de datos basado en la nube.
Como resultado, una gran cantidad de datos quedó expuesta: a partir de 2013, el número total de archivos de registro personales superó los 10 millones. El depósito S3 todavía está en uso y se cargaron nuevos registros a las pocas horas de nuestra investigación.
El depósito S3 contiene más de 180.000 registros solo desde agosto de 2020. Muchos de ellos están relacionados con reservas de hoteles en muchos sitios web, aunque las reservas de hoteles a nivel mundial se encuentran en su punto más bajo histórico durante este período.
Cada uno de estos registros expuso información de identificación personal (PII) sensible y valiosa que pertenece a la persona que realizó la reserva. Sin embargo, debido a la cantidad de datos expuestos, es difícil decir cuántas personas se vieron afectadas. Además, muchos registros de datos contienen datos PII de muchas personas (por ejemplo, familias) en una reserva. Finalmente, algunos registros de datos incluyen modificaciones y cancelaciones.
Por estos motivos, el número real de contactos puede ser muy superior al número de reservas registradas.
La siguiente captura de pantalla se tomó en un depósito de S3 y muestra cómo las reservas registradas a través de un administrador de canal expusieron datos confidenciales de PII y de tarjetas de crédito.
Según los datos detallados de tarjetas de crédito filtrados, PrestigeSoftware violó el Estándar de seguridad de datos de la industria de tarjetas de pago, o PCIDSS.
PCIDSS es un estándar de seguridad de la información desarrollado por las principales empresas de tarjetas de crédito para reducir el fraude contra los clientes mediante el establecimiento de protocolos mediante los cuales las empresas almacenan, transmiten y procesan todos los datos de las tarjetas de crédito.
El incumplimiento de PCIDSS por parte de una empresa o proveedor en línea o el incumplimiento de su acuerdo puede resultar en su capacidad para aceptar y procesar pagos con tarjeta de crédito. Sitios web afectados
El administrador de canales de Prestige Software, CloudHospitality, es una solución popular dependiendo de la cantidad de datos almacenados en la base de datos. No sólo sigue en uso activo durante la crisis del coronavirus, sino que también está conectado a muchos de los sitios de reserva de hoteles más grandes del mundo.
Prestige Software no incluye a sus clientes en su sitio web. Sin embargo, los datos contenidos en el depósito S3 parecen provenir de varias fuentes confiables que figuran como clientes de CloudHospitality, incluidas, entre otras: AgodaAmadeusBooking. Com hotel.
comhotelbedsomnibeessabre y muchos otros
*Nota: no hemos analizado todos los archivos expuestos en el depósito S3, por lo que esta no es una lista completa. Todos los sitios web y plataformas de reservas relacionados con Cloud Hotels pueden verse afectados. Estos sitios web no son responsables de los datos expuestos como resultado. Quién filtró los datos
El producto principal de Prestige Software, CloudHospitality, es un administrador de canales.
Se utiliza un administrador de canales para conectarse a sitios web de reservas en línea, como reservas. com y Expedia, así como el software que utilizan los hoteles para gestionar la disponibilidad y las vacantes. Los administradores de canales garantizan que la disponibilidad de habitaciones de hotel se actualice y distribuya en todos los sitios web relevantes (a veces en cientos de sitios web).
Por ejemplo, cuando reservas una habitación de hotel en Agoda, esa habitación ya no estará disponible para que otros la reserven en Expedia.
CloudHospitality lo utilizan los hoteles que enumeran alojamiento en muchos de los sitios de reserva de hoteles y agencias de viajes en línea (OTA) más grandes del mundo, y trabajan junto con las agencias de viajes tradicionales para reservar habitaciones para los clientes. Impacto en los huéspedes del hotel
Millones de personas de todo el mundo podrían haber estado expuestas a una filtración de datos.
No podemos garantizar que nadie haya accedido al depósito de S3 y haya robado los datos antes de que los encontráramos. Hasta el momento, no hay evidencia de que esto suceda. Sin embargo, si esto se hiciera, tendría un enorme impacto en la privacidad, la seguridad y el bienestar financiero de quienes están expuestos. Fraude con tarjetas de crédito Robo de identidad
Los ciberdelincuentes pueden utilizar datos de identificación personal expuestos e información de tarjetas de crédito para cometer fraude con tarjetas de crédito y robar información de la persona que lo comprometió. Además, los mismos datos pueden utilizarse para otras formas de fraude financiero o robo de identidad. Estafas, phishing y malware
Los ciberdelincuentes pueden utilizar información de contacto comprometida para atacar a los huéspedes del hotel con estafas, campañas de phishing y ataques de malware.
Con datos PII filtrados, es fácil generar confianza, animando a las personas a hacer clic en enlaces integrados con malware o proporcionar datos privados valiosos.
Los ciberdelincuentes pueden utilizar detalles de estancias en hoteles para crear estafas convincentes y dirigirse a personas adineradas que se alojan en hoteles caros para maximizar la rentabilidad de sus planes.
Por último, cualquier estancia en un hotel que exponga información vergonzosa o que comprometa la privacidad sobre la vida de una persona puede utilizarse para extorsionarla y chantajearla. Adquisición de reservas
Con detalles sobre la reserva de hotel de una persona, un hacker con acceso a archivos expuestos podría obtener esos detalles, contactar al hotel y cambiar la fecha y el nombre de la reserva.
Luego pueden hacerse cargo de las vacaciones de alguien sin pagarlas, o hacerse pasar por agentes de viajes y vender reservas a clientes desprevenidos. Por supuesto, pueden hacer esto más de una vez. Impacto en el RGPD de Prestige Software y la violación de la privacidad de datos
Prestige Software tiene su sede en España, país de la UE, y ha estado procesando datos de muchas personas en toda la UE.
Esto lo coloca directamente dentro del ámbito de las regulaciones de datos GDPR del bloque comercial. Por lo tanto, la empresa debe cumplir con reglas estrictas para informar violaciones y garantizar que la vulnerabilidad ya no exista en sus sistemas. Si no lo hace, podría enfrentar acciones legales y fuertes multas por parte de la UE. Pérdidas comerciales
Prestige Software enfrentó importantes pérdidas comerciales debido a la violación de datos. Los hoteles y agencias de viajes online pueden optar por otra solución si no confían en que la empresa proteja los datos de sus clientes o creen que serán responsables de cualquier daño causado.
El mercado de los channel managers está saturado y la competencia es feroz. Cualquier empresa que quiera cambiar de proveedor tiene muchas opciones.
Además, el software Prestige puede perder la capacidad de procesar información de tarjetas de crédito en el futuro debido a violaciones de los estándares PCI. De ser así, no podría aceptar pagos con tarjeta de crédito, lo que haría casi imposible que la empresa operara. Informe de noticias negativas
El software Prestige expuso los datos privados y los detalles de las tarjetas de crédito de millones de personas en todo el mundo, a lo largo de casi una década.
La crisis del coronavirus ha devastado la industria hotelera y de viajes internacional, con muchas empresas luchando por sobrevivir y millones de personas perdiendo sus empleos.
Prestige Software podría afrontar un desastre de relaciones públicas al exponer tantos datos en un momento tan delicado, poniendo en riesgo a tantas personas.
Una vez más, dada la abundancia de opciones en la industria de gestión de canales, los clientes y socios pueden decidir distanciarse públicamente de la empresa como resultado. Al mismo tiempo, los competidores pueden utilizar la cobertura de este artículo para trasladar clientes a las plataformas de sus competidores, generando así enormes ingresos. El estado de la filtración de datos Investigamos varias empresas que pueden haber sido responsables de la filtración. Sin embargo, dado el tamaño de los datos expuestos y su sensibilidad, decidimos contactar a AWS directamente para que pudiera resolver rápidamente el problema y garantizar que se cerrara la vulnerabilidad.
El depósito S3 se aseguró al día siguiente. Mientras tanto, seguimos investigando. También confirmamos que los datos eran auténticos tomando una muestra de las direcciones de correo electrónico expuestas en la filtración y verificando que pertenecían a personas reales.
Finalmente, confirmamos que Prestige Software era el propietario de los datos, así como el responsable de la filtración, y nos pusimos en contacto con la empresa.
La empresa pronto confirmó que tenía los datos.
Desafortunadamente, dada la cantidad de sitios web de hoteles y viajes afectados por esta vulnerabilidad, será imposible ayudar a cualquiera que haya estado expuesto si alguien descubre los datos antes que nosotros. Si es cliente de cualquiera de los sitios web enumerados en este informe, y