Plataforma de hoteles deja expuestos a millones de usuarios en brecha de datos
La industria hotelera ha sido objeto de un gran escándalo de brecha de seguridad de datos tras descubrir que Prestige Software, una compañía española que provee automatización de reservaciones online a hoteles, ha dejado expuesta información sensitiva de cientos de miles de clientes.
Esta noticia viene de websiteplanet.com, cuyos analistas descubrieron un grave error de configuración en un Bucket web de Amazon S3 (un popular servicio de almacenamiento en la nube), el cual aloja la plataforma Cloud Hospitality de Prestige Software.
Para entrar en contexto, Cloud Hospitality es una solución popular de gestión de reservaciones utilizada por muchas cadenas de hoteles importantes, como por ejemplo Agoda, Expedia, Amadeus, Booking.com, Hotels.com y muchísimas más.
En resumidas cuentas, la plataforma se encarga de supervisar y gestionar la vacancia de cuartos de hotel distribuidos a lo largo de los sitios web relevantes. La misma se asegura que la data coincida y que esté sincronizada, de manera tal que, si un usuario reserva un cuarto a través de Expedia, el mismo no esté disponible para reservar en Agoda o en ningún otro sitio web similar.
La brecha se remonta a 2013 e incluye detalles de tarjetas de crédito de cientos de miles de personas
Como reza el escrito de arriba, los datos de clientes que han estado expuestos incluyen: nombres completos, direcciones de correo electrónico, números de documento de identificación, números de celulares, todos los datos de las tarjetas de crédito usadas para pagar, detalles de las reservaciones, número de reservaciones y mucho más.
Como resultado, se expuso una gran cantidad de datos: más de 10 millones de archivos de registro individuales en total, que datan de 2013. El depósito S3 todavía estaba activo y en uso para cuando se condujo la investigación de Website Planet.
Asimismo, el servidor S3 contenía más de 180.000 registros solo desde agosto de 2020. Muchos de ellos se relacionan con las reservas de hotel que se realizan en numerosos sitios web, a pesar de que las reservas de hoteles en todo el mundo se encuentran en un mínimo histórico durante esta pandemia.
Desafortunadamente, es muy difícil para los investigadores determinar cuántas personas han sido afectadas por esta brecha de seguridad, y la cantidad exacta podría ser mucho más alta que la estimada. Los afectados no solo están propensos a sufrir fraude de tarjeta de crédito, sino que además son vulnerables a Phishing, ataques de malware y otras formas de crimen cibernético, incluyendo suplantación de identidad y robo de las reservaciones.
Las consecuencias para Prestige Software podrían ser catastróficas
Para el momento de escribir esta noticia, Website Planet ya se ha puesto en contacto con Prestige Software y AWS, quienes han tomado cartas en el asunto. El Bucket Amazon S3 ya ha sido asegurado por la compañía.
Sin embargo, debido a la gravedad de la falta, se esperan consecuencias legales para Prestige Software, quien además podría enfrentar un desastre de relaciones públicas y perder muchos socios y clientes en los siguientes días.
Por si fuera poco, se ha encontrado evidencia de que Prestige Software ha incumplido con el Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago, algo que puede resultar en la revocación de la capacidad para aceptar y procesar pagos con tarjetas de crédito.
Vía | Website Planet
