报道:酒店预订平台让数百万人暴露在海量数据泄露中

在本文中,客户数据暴露了谁泄露了数据?对酒店客人的影响对Prestige软件的影响数据的状态保护您的数据什么是网站星球?

最初出版于2020年11月6日
公司:Prestige Software,总部位于西班牙。

严重性:High

大小:24.4 GB,总计10000000多个暴露文件

数据存储格式:错误配置的AWS S3 Bucket

受影响国家:Worldwide

由我们网站Planet的安全团队提供,我们可以发现一个酒店预订平台一直在暴露来自全球数百万酒店客人的高度敏感数据,可追溯到2013年,包括10万人的信用卡详细信息。

总部位于马德里和巴塞罗那,Prestige Software向酒店销售一个名为Cloud Hospitality的渠道管理平台,该平台可以自动在Expedia和booking等在线预订网站上提供服务。通用域名格式。

该公司在没有任何保护措施的情况下存储了酒店客人和旅行社多年的信用卡数据,使数百万人面临欺诈和网络攻击的风险。

公开的客户数据

PII数据:酒店客人的全名、电子邮件地址、国家身份证号码和电话号码
信用卡详细信息:卡号、持卡人姓名、CVV和到期日期
付款详细信息:酒店预订总成本S3预订详细信息:预订号码、住宿日期、每晚支付的价格、客人提出的任何其他请求,人数、客人姓名等等。

Prestige软件将云酒店数据存储在配置错误的Amazon Web Services(AWS)S3存储桶上,这是一种流行的基于云的数据存储形式。

结果,大量数据被曝光:从2013年开始,个人日志文件总数超过1000万个。S3存储桶仍在使用中,新记录在我们调查后的几个小时内被上传。

S3存储桶仅从2020年8月起就包含了超过180000条记录。其中许多都与许多网站上的酒店预订有关,尽管全球酒店预订量在这一时期处于历史最低水平。

这些记录中的每一项都暴露了属于做出预订的个人的敏感和有价值的个人识别信息(PII)数据。然而,由于暴露的数据量,很难说有多少人受到影响。此外,许多数据日志包含一个保留地上许多人(例如家庭)的PII数据。最后,一些数据记录包括修改和取消。

由于这些原因,实际接触的人数可能比记录的预订人数高得多。

下面的屏幕截图是在S3存储桶中拍摄的,显示了通过渠道经理记录的预订,如何暴露敏感的PII和信用卡数据。

Prestige Software Leak-image1Prestige Software Leak-image1

Prestige Software Leak-image2Prestige Software Leak-image2

根据此次泄露的详细信用卡数据,Prestige Software违反了支付卡行业数据安全标准,即PCI DSS。

PCI DSS是一种信息安全标准,由主要信用卡公司制定,旨在通过设置公司存储、传输和处理所有信用卡数据的协议,减少针对客户的欺诈行为。

公司或在线供应商不遵守PCI DSS或违反其协议可能导致其有能力接受和处理信用卡付款。

受影响的网站

根据数据库中存储的数据量,Prestige Software的渠道管理器Cloud Hospitality是一种流行的解决方案。它不仅在冠状病毒危机期间仍在积极使用,而且还与世界上许多最大的酒店预订网站相连。

Prestige软件没有在其网站上列出其客户。然而,S3存储桶中包含的数据似乎来自许多被列为Cloud Hospitality客户的知名来源,包括但不限于:

Agoda
Amadeus
Booking。Com
酒店。com
hotelbeds
omnibees
sabre
和许多其他s

*注意:我们没有查看S3存储桶中暴露的所有文件,因此这不是一个完整的列表。与云酒店相关的每个网站和预订平台都可能受到影响。这些网站不对因此而暴露的任何数据负责。

谁泄露了数据

Prestige软件的主要产品Cloud Hospitality是一个渠道经理。

A频道管理器用于连接预订等在线预订网站。com和Expedia,以及酒店用来管理可用性和空缺的软件。渠道经理确保酒店客房的可用性得到更新,并分布在每个相关网站(有时是100个网站)上。

例如,当您在Agoda上预订酒店房间时,该房间将不再可供其他人在Expedia上预订。

Cloud Hospitality被世界上许多最大的酒店预订网站和在线旅行社(OTA)上列出住宿的酒店使用,与传统旅行社一起为客户预订房间。

对酒店客人的影响

来自世界各地的数百万人可能暴露在数据泄露中。

我们不能保证在我们找到数据之前,还没有人访问S3存储桶并窃取数据。到目前为止,还没有证据表明这种情况发生。然而,如果真的这样做了,将对那些暴露在外的人的隐私、安全和财务福祉产生巨大影响。

信用卡欺诈身份盗窃

网络犯罪分子可以使用暴露的个人信息识别数据和信用卡信息进行信用卡欺诈,并从泄露的人那里窃取信息。此外,同样的数据也可用于其他形式的金融欺诈或身份盗窃。

诈骗、网络钓鱼和恶意软件

网络犯罪分子可以利用泄露的联系信息,以诈骗、网络钓鱼活动和恶意软件攻击的酒店客人为目标。

有了泄漏的PII数据,就很容易建立信任,鼓励人们点击嵌入恶意软件的链接或提供有价值的私人数据。

网络犯罪分子可以利用酒店住宿的细节来制造令人信服的骗局,并将目标对准那些在昂贵酒店住宿的富人,以获得其计划的最大回报。

最后,如果任何一家酒店的住宿暴露了一个人的生活中令人尴尬或有损隐私的信息,就会被用来勒索和勒索他们。

预订接管

有了关于一个人酒店预订的详细信息,可以访问暴露文件的黑客可以获取这些详细信息,联系酒店,并更改预订的日期和姓名。

然后他们可以不付钱就接管某人的假期,或者冒充旅行社,把预订卖给毫无戒心的顾客。当然,他们可以不止一次这样做。

对Prestige软件的影响

GDPR和数据隐私侵犯

Prestige软件位于欧盟国家西班牙,它一直在为欧盟各地的许多人处理数据。

这使其完全处于贸易集团GDPR数据法规的管辖范围内。因此,该公司必须遵守严格的规则来报告违规行为,并确保其系统中不再存在漏洞。如果不这样做,它可能会面临欧盟的法律诉讼和巨额罚款。

业务损失

Prestige软件因数据泄露而面临大量业务损失。如果酒店和在线旅行社不相信该公司会保护其客户的数据,或者认为他们将对由此造成的任何损害负责,他们可能会选择另一种解决方案。

渠道经理的市场已经饱和,竞争激烈。任何想要改变供应商的企业都有很多选择。

此外,由于违反了PCI标准,Prestige软件将来可能会失去处理信用卡信息的能力。如果是这样,它将无法接受信用卡付款,这使得该公司几乎无法运营。

负面新闻报道

Prestige软件披露了全球数百万人的私人数据和信用卡详细信息,时间跨度近十年。

冠状病毒危机摧毁了国际旅游和酒店业,许多公司难以生存,数百万人失业。

在如此微妙的时刻暴露如此多的数据,将如此多的人置于危险之中,Prestige Software可能会因此而面临公关灾难。

再一次,考虑到渠道管理行业的丰富选择,客户和合作伙伴可能会因此决定公开与公司保持距离。与此同时,竞争对手可以利用这篇报道的覆盖面,将客户转移到竞争对手的平台上,从而获得巨额收入。

数据泄露的状态我们调查了几家可能对数据泄露负责的公司。然而,考虑到暴露数据的大小及其敏感性,我们决定直接联系AWS,以便其能够快速解决问题,并确保漏洞被关闭。

S3铲斗在第二天被固定。与此同时,我们继续调查。我们还通过抽取泄漏中暴露的电子邮件地址样本,并验证它们属于真人,从而确认数据是真实的。

最终,我们确认了Prestige Software是数据的所有者,以及泄漏的责任方,并联系了该公司。

该公司不久后确认其拥有这些数据。

不幸的是,考虑到受此漏洞影响的酒店和旅游网站的数量,如果有人在我们之前发现数据,就不可能帮助任何已经曝光的人。

如果您是本报告中列出的任何网站的客户,并且

Published by

风君子

独自遨游何稽首 揭天掀地慰生平

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注