Международные новости утечек информации, ежегодные аналитические отчеты и статистика по инцидентам за прошедшие годы.
Утекли данные миллионов постояльцев отелей
Разработчик ПО для сервисов бронирования отелей допустил утечку конфиденциальных данных клиентов гостиниц по всему миру. Компания Prestige Software годами хранила в незащищенном облаке личную информацию гостей, включая данные платежных карт, выяснили участники проекта Website Planet.
Компания Prestige Software, офисы которой расположены в Мадриде и Барселоне, специально для отелей развивает платформу Cloud Hospitality. Это приложение интегрировано с популярными сервисами бронирования, такими как Booking.com, Hotels.com и Expedia. Исследователи безопасности выяснили, что компания хранит данные многочисленных постояльцев отелей на неправильно сконфигурированном облачном сервере Amazon Web Services S3. В общей сложности в хранилище было найдено более 10 млн различных файлов, где хранилась информация о бронированиях начиная с 2013 г. При этом облачная база пополнялась в режиме реального времени.
Несмотря на то, что во время пандемии COVID-19 число бронирований является рекордно низким, только за август 2020 г. в управляемой Prestige Software базе появилось порядка 180 тыс. новых записей. Каждая из них содержит различные персональные данные, позволяющие идентифицировать личность того или иного постояльца отеля. В некоторых записях есть данные о семейном бронировании номеров, включая сведения об изменении дат проживания и отмене резервирования.
Кроме того, в результате утечки из базы Cloud Hospitality скомпрометированы данные порядка 100 тыс. платежных карт. Таким образом Prestige Software допустила нарушение стандарта PCI DSS, регламентирующего обеспечение безопасности финансовых транзакций.
Оценить точный масштаб утечки довольно трудно, однако речь идет о миллионах пострадавших гостей, отмечают специалисты Website Planet. Нельзя быть уверенными в том, что доступ к серверу Amazon софтверной компании не получил кто-нибудь помимо исследователей. Если данные были похищены из облака, они могут использоваться как для финансового мошенничества (вывод денег с карт, номера которых были в базе), так и в рамках фишинговых атак. Информация о некоторых людях может служить для шантажа. Также нельзя исключать, что злоумышленники под чужими данными будут бронировать номера в отелях.
Поскольку Prestige Software базируется в Испании, которая является участницей Европейского Союза, допущенная утечка информация – это нарушение регламента о защите данных (GDPR). Поэтому компания может столкнуться с многочисленными судебными исками и огромным штрафом (до 20 млн евро или 4% годового оборота).
Как сообщили в Website Planet, облачное хранилище Prestige Software было закрыто вскоре после того, как исследователи обратились напрямую в службу Amazon S3.