Ponad dziesięć milionów plików z informacjami o klientach było dostępnych publicznie. Serwisy hotelowe mogą być w poważnych tarapatach.
Wyciek dotknął m.in. Booking.com
Sprawę zbadali specjaliści z Website Planet. Potwierdzili oni, że dane milionów użytkowników takich stron jak m.in. Booking.com czy Hotels.com były przechowywane w bardzo słabo zabezpieczonym środowisku i dostęp do nich mógł uzyskać praktycznie każdy. Co takiego dokładnie mogło wpaść w ręce atakujących?
Poza danymi personalnymi pokroju imion i nazwisk, adresów email czy numerów telefonów w paczce miały znaleźć się także szczegóły dotyczące kart płatniczych używanych podczas rezerwowania pokojów hotelowych – i mówimy tu o numerach kart, nazwiskach posiadaczy, dacie ważności karty oraz numerze CVV. Światło dzienne ujrzały także szczegóły rezerwacji – m.in. daty pobytu i cena za noc.
Co było źródłem wycieku? Zła konfiguracja zasobnika S3 platformy Amazon Web Services. Odpowiedzialna za to firma – Prestige Software – sprzedaje hotelom pakiet usług, który pomaga im prowadzić działalność na portalach rezerwacyjnych. Wszystkie dane klientów gromadzone były we wspomnianym wcześniej zasobniku, który, według ekspertów, miał być podatny na niektóre rodzaje ataków.
W samym sierpniu tego roku zasobnik ten miał przyjąć blisko 180 tys. nowych wpisów. Najstarsze zawarte w nim informacje miały pochodzić z 2013 roku, a łączna liczba logów przekroczyła dziesięć milionów.
Jak twierdzą badacze, ciężko określić, ilu dokładnie klientów zostało lub zostanie dotkniętych tym wyciekiem. W niektórych plikach znajdowały się dane kilku osób (np. podróżujących rodzin), a ich liczebność praktycznie uniemożliwia precyzyjne określenie wszystkich potencjalnych poszkodowanych.
Co bardzo istotne, nie mamy potwierdzenia, czy ktoś „dobrał” się do zasobnika przed specjalistami z Website Planet. Już w przeszłości badacze ostrzegali, że dane klientów serwisów hotelowych są słabo zabezpieczone i stosunkowo łatwe do wykradnięcia. Musimy więc czekać teraz na to, czy pojawią się one np. na darknetowych forach poświęconych sprzedaży danych.
Jak już wspominaliśmy wcześniej, danych jest bardzo dużo i przez to potencjalnie poszkodowane osoby będą bardzo trudne do zidentyfikowania. Zasobnik AWS odpowiedzialny za całe zamieszanie został już zabezpieczony przez Amazon.
