9 nov. 2020

Expuestos 10+ millones de registros de Booking.com, Expedia, Amadeus u Hotels.com y otros

Una empresa española ha expuesto 24GB de datos personales de millones de clientes de Booking, Expedia y otros portales de reserva.

Prestige Software, una compañía española (con sedes en Madrid y Barcelona) que ofrece una plataforma para hoteles, llamada Cloud Hospitality, que automatiza la disponibilidad de sus reservas en portales como Booking.com, Expedia, Amadeus u Hotels.com, acaba de verse señalada como culpable de una grave brecha de datos que afecta a clientes de todo el mundo. Prestige Software no incluye a sus clientes en su sitio web. Sin embargo, el depósito de S3 contenía datos que parecían provenir de muchas fuentes conocidas que figuran como clientes de Cloud Hospitality, que incluyen, entre otros:

  • Agoda
  • Amadeo
  • Booking.com
  • Expedia
  • Hoteles.com
  • Hotelbeds
  • Omnibees
  • Sable
  • muchos otros

Investigadores de WebSite Planet detectaron la existencia de un bucket de AWS que, a causa de una mala configuración, permitía el acceso público a los 34,6 GB de datos que contenía sin exigir ninguna autenticación de seguridad.

Y entre esos datos se encontraban más de 10 millones de registros de reservas hoteleras creados durante los últimos 7 años.

Dichos registros contenían a su vez datos tanto personales como financieros: nombres completos, direcciones de correo electrónico, DNIs, números de teléfono y, en muchos casos, también los datos de tarjetas de crédito.

En palabras de Mark Holden, investigador de Website Planet:

"Millones de personas han quedado potencialmente expuestas por esta brecha de datos, en todo el mundo. No podemos garantizar que alguien no haya accedido al bucket de AWS S3 y robado los datos antes de encontrarlo nosotros". Hasta ahora, no hay evidencia de que esto haya sucedido. Pero, si llegarla a haberlas, habría enormes implicaciones para la privacidad, la seguridad y el bienestar financiero de las personas cuyas datos quedaron expuestos".

Efectivamente, estas personas quedarían expuestas a cambios maliciosos de sus reservas, a ataques de phising y a fraudes de identidad.

De igual modo, Prestige Software (que, según Website Planet, reconoció ser la propietaria del bucket y solventó la mala configuración al día siguiente de recibir el aviso) queda ahora expuesto a demandas por parte tanto de los afectados como de las instituciones europeas, y a fortísimas multas por incumplimiento de la GDPR.

Impacto para los huéspedes

Millones de personas de todo el mundo estuvieron potencialmente expuestas a la violación de datos. No podemos garantizar que alguien no haya accedido al depósito S3 y no haya robado los datos antes de que los encontráramos. Hasta ahora, no hay evidencia de que esto suceda.

Sin embargo, si lo hiciera, habría enormes implicaciones para la privacidad, la seguridad y el bienestar financiero de los expuestos.

Robo de identidad por fraude con tarjetas de crédito.

Los ciberdelincuentes podrían usar los datos PII expuestos y la información de la tarjeta de crédito para cometer fraude con tarjetas de crédito y robar a las personas comprometidas en la infracción. Además, los mismos datos podrían usarse en otras formas de fraude financiero o robo de identidad.

Estafas, phishing y malware

Los ciberdelincuentes podrían usar la información de contacto expuesta en la infracción para atacar a los huéspedes del hotel con estafas, campañas de phishing y ataques de malware.

Con los datos de PII de la filtración, sería fácil establecer confianza y alentar a las personas a hacer clic en enlaces incrustados con malware o proporcionar datos privados valiosos. Los ciberdelincuentes podrían utilizar los detalles de las estancias en hoteles para crear estafas convincentes y apuntar a personas adineradas que se han alojado en hoteles caros para obtener la máxima recompensa por sus planes.

Finalmente, si alguna estadía en un hotel revelaba información vergonzosa o comprometedora sobre la vida de una persona, solía chantajearla y extorsionarla.

Adquisición de reservas

Con información detallada sobre la reserva de hotel de una persona, un delincuente informático con acceso a los archivos expuestos podría tomar estos datos, ponerse en contacto con el hotel y cambiar las fechas y los nombres de la reserva. Luego, podrían hacerse cargo de las vacaciones de alguien sin pagar, o hacerse pasar por un agente de viajes y vender las reservas a clientes desprevenidos. Por supuesto, podrían hacer esto más de una vez.

Fuente: InfoSecurity Magazine

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!