Une énorme vulnérabilité de sécurité affectant une plate-forme de réservation d’hôtel populaire a révélé des informations sensibles relatives à des centaines de milliers de personnes pour des réservations datant de plusieurs années, a-t-il été révélé. La faille de sécurité concerne un compartiment AWS S3 mal configuré qui stocke des données, notamment des noms, des adresses e-mail, des numéros de carte de crédit et une foule d’autres informations personnellement identifiables.
L’entreprise technologique espagnole Prestige Software fournit aux hôtels un accès à sa plate-forme de gestion Cloud Hospitality depuis plusieurs années maintenant, offrant un service qui automatise la disponibilité en ligne sur de nombreux sites de réservation.
Cependant, une équipe de sécurité de Website Planet a récemment découvert que plus de 10 millions de fichiers journaux individuels, datant de 2013, étaient stockés à l’aide de la solution sans protocoles de sécurité en place.
Sur la base des informations de paiement qui ont été exposées dans cette fuite particulière, il semble que Prestige Software n’a pas respecté la norme de sécurité des données de l’industrie des cartes de paiement. Cela pourrait entraîner la révocation de la capacité de l’entreprise à traiter les informations de paiement.
Sommaire
Données non sécurisées
Il n’est pas facile d’indiquer exactement combien de personnes auraient eu des données exposées à la suite de l’accident de sécurité, certaines réserves étant susceptibles d’être pour des réservations de groupe, tandis que certaines auraient été annulées avant que les informations de paiement ne soient prises. Néanmoins, le volume de données exposées identifie Cloud Hospitality comme une solution populaire, utilisée par certains des plus grands noms de l’hôtellerie en ligne, notamment Expedia, Hotels.com et Booking.com.
Les données n’étant pas sécurisées, il n’est pas non plus possible de savoir si des informations sensibles ont été consultées. Bien qu’il n’y ait pas encore de preuve d’activité frauduleuse résultant de l’exposition, les cybercriminels pourraient choisir de s’asseoir sur les données avant de commettre des actes criminels.
Après avoir été informé de la vulnérabilité, AWS a décidé de sécuriser le compartiment S3 le jour suivant. Néanmoins, toute information mal obtenue pourrait être utilisée pour tenter des transactions financières malveillantes, des escroqueries par hameçonnage ou l’injection d’outils malveillants.Il est donc toujours important que les utilisateurs en ligne restent vigilants face aux menaces potentielles.
Via le site Web Planet
