I ricercatori di Website Planet hanno scoperto un “data breach” della piattaforma Cloud Hospitality sviluppata da Prestige Software e utilizzata per la gestione delle prenotazioni da numerosi siti online, tra cui Booking, Expedia e Hotels. A causa di un errata configurazione del bucket S3 di AWS (Amazon Web Services) sono stati esposti i dati di milioni di utenti in tutto il mondo.
Cloud Hospitality è un “channel manager” utilizzato per collegare i siti di prenotazione online con i software degli hotel. In pratica consente di mostrare la disponibilità delle camere in tempo reale su più siti in contemporanea. I dati raccolti da Cloud Hospitality sono conservati su AWS. L’errore di configurazione ha permesso l’accesso a numerose informazioni sensibili: nomi, indirizzi email e numeri di telefono degli utenti, dettagli sulle prenotazioni (date, prezzo per notte, numero di persone) e sulle carte di credito (numero, scadenza, nome proprietario, codice CVV).
In base alle indagini di Website Planet sono stati esposti oltre 10 milioni di log registrati a partire dal 2013. Non è possibile stabilire con esattezza il numero di utenti, ma si tratta di milioni di persone. Prestige Software, un’azienda spagnola, non fornisce i nomi dei clienti, ma tra i più noti ci sono sicuramente Booking, Expedia e Hotels.
Al momento non sono stati segnalati usi fraudolenti dei dati da parte di qualche malintenzionato. I cybercriminali potrebbero compiere vari tipi di azioni: furti di identità, frodi finanziarie, attacchi mirati (truffe, phishing, malware), estorsioni. Potrebbero anche cambiare i nomi degli ospiti e le date delle prenotazioni per fare una vacanza gratis.
Fortunatamente il problema è stato prontamente risolto da Amazon. Prestige Software rischia una multa salata dalla Commissione Europa per violazione del GDPR (Regolamento generale sulla protezione dei dati) e di perdere la possibilità di gestire le informazioni delle carte di credito, a causa del mancato rispetto del Payment Card Industry Data Security Standard (PCI DSS).