Над 10 милиони фајлови на гости во хотели се јавно достапни боради безбедносен пропуст. Корисниците на сервисот Cloud Hospitality кој овозможува резервација на хотелска услуга се жртва на овој пропуст. Развивач на Cloud Hospitality е шпанската компанија Prestige Software.
Над 24,4 GB со чувствителни лични податоци се достапни поради погрешно конфигуриран AWS S3 bucket. Сервисот се користи за автоматизирање на достапноста, цените и ограничувањата на различни канали. Дел од овие канали се и популарните платформи Booking.com и Expedia.
Во документите се наоѓаат лични податоци на над милиони гости од целиот свет. Во податоците, кои започнуваат од 2013 година, може да се пронајдат и податоци за платежните картички на над 100 000 корисници. Анализата на податоците покажува дека има над 10 милиони фајлови, велат безбедносните експерти од WebsitePlanet.
Што содржат податоците?
Податоците кои се достапни како последица на пропуст се:
- Лични податоци: име, презиме, имејл адреса, броеви на лична карта и телефонски број
- Податоци за платежни картички: број на картичка, име на носител на картичка, CVV, дата на важност
- Детали за плаќање: сума на цени за хотелските резервации
- Детали за резервациите: број на резервација, дата на престој, цена по вечер, дополнителни барања, број на луѓе, име на гости…
За што се корист софтверот?
Cloud Hospitality се корист за автоматско синхронизирање на хотелските капацитети на различни платформи. На пример ако некој корисник изнајми соба преку Booking.com, истата соба веднаш се отстранува од останатите платформи.
Само во август оваа година во фајловите има над 180 000 податоци за резервации. Дел од најголемите сајтови за резервации кои го користат софтверот на Prestige Software се: Agoda, Amadeus, Booking.com, Expedia, Hotels.com, Hotelbeds, Omnibees, Sabre.
По известувањето од Website Planet, AWS директно ги надмина проблемите кои произлегуваа од погрешното конфигурирање, па сега платформата е безбедна. За жал штетата е веќе направена и ако некој злонамерен напаѓач претходно го забележал пропустот има куп податоци за гостите.
Покрај фишинг нападите и измамите кои благодарение на овие податоци ќе бидат поедноставни за напаѓачот, тука се и проблемите со платежни картички кои се компромитирани, а и опасност за промена на датите и имињата на резервациите.