La indebida configuración de un servidor en la nube perteneciente a una popular plataforma de reservas expuso de manera pública información personal de millones de huéspedes, como nombres completos, números de identificación nacional y datos de tarjetas de crédito.
Una gran cantidad de información sensible, perteneciente a millones de huéspedes de hoteles de distintas partes del mundo y alojada en un servidor mal configurado, quedó expuesta al alcance de cualquier persona. Los datos estaban almacenados en un bucket de Amazon Web Services (AWS) S3 perteneciente a Prestige Software, una empresa con sede en España que vende software de gestión hotelera.
La exposición de esta información, reportada por Website Planet, se originó en el software Channels Manager de la empresa española, el cual es utilizado por los hoteles para automatizar el estado de sus vacantes en varios sitios web para la reserva de alojamiento. En este sentido, dado que la plataforma se utiliza para conectarse con los sitios web de reservas, algunos de los datos provienen conocidas agencias de viajes online, como pueden ser Expedia, Booking.com y Agoda, entre otras tantas más, aunque es importante mencionar que no son culpables por la exposición de los datos.
En total los datos comprendían más de 10 millones de archivos de registro, incluida información que se remonta al año 2013. Entre los datos había una gran cantidad de información de identificación personal (PII), como los nombres completos de los huéspedes, números de identificación nacional, direcciones de correo electrónico, números de teléfono, así como detalles como el número de reserva, fechas, número de invitados y sus nombres, y el precio pagado. Además, el bucket S3 también contenía datos financieros valiosos, como números de tarjetas de crédito, el nombre del titular de la tarjeta, códigos de verificación de la tarjeta de crédito (CVV) y fecha de vencimiento.
Website Planet también confirmó la veracidad de los datos al verificar que una muestra de las direcciones de correo electrónico filtradas pertenecía a personas reales. Si bien actualmente no hay evidencia de que ningún actor malintencionado haya obtenido acceso a los datos expuestos, los investigadores no pueden garantizar que nadie haya accedido a los datos previo a ser descubierto el servidor mal configurado. Los investigadores también se pusieron en contacto con Amazon Web Services y desde entonces los datos se aseguraron correctamente.
La cantidad y variedad de registros expuestos ofrece a los cibercriminales material que puede ser utilizado para realizar todo tipo de actividad maliciosa. Los huéspedes del hotel podrían ser víctimas de robo de identidad, ataques de phishing y de otros tipos de ataque de ingeniería social, e incluso de fraude financiero debido a la exposición de datos de tarjetas de crédito. Sin embargo, los cibercriminales no tienen porque abusar de los datos ellos mismos; ya que pueden vender esta información a granel en la dark web.
Las empresas que incumplan las leyes de protección de datos, en particular el Reglamento general de protección de datos (GDPR) de la Unión Europea, pueden enfrentar graves consecuencias por fallas en la privacidad y la seguridad.
Fuente: WeLiveSecurity