Prestige Software, un gestor de reservas de hotel utilizado por plataformas internacionales como Booking.com, Hotels.com, Hotelbeds o Expedia, ha dejado expuestos datos pertenecientes a millones de clientes en un bucket S3 de Amazon Web Services mal configurado.
La compañía de software, ubicada en Barcelona, ha permitido con ello que se filtrasen más de 10 millones de archivos de registro individuales en total -unos 24,4 GB de datos-, según identificaron investigadores de Website Planet.
Cada uno de estos registros ha dejado expuesta información sensible y de identificación personal: nombres, direcciones de correo electrónico, números de identificación nacional, números de teléfono, información de reservas y detalles de tarjetas de crédito, incluyendo datos como el CVV o la fecha de caducidad.
Los hechos sugieren que la empresa de software almacenaba datos de tarjetas de crédito de agentes de viajes y clientes de hoteles sin ninguna medida de seguridad y, como resultado, se han expuesto online datos personales y financieros que datan de 2013.
«Cada año, los hoteles y las plataformas de reservas recogen datos sensibles de los consumidores y almacenan la información personal identificable de millones de huéspedes. Para mitigar los riesgos de futuras violaciones de datos y proteger los datos sensibles, las organizaciones de hostelería y otras empresas necesitan tener una visibilidad y un control total sobre sus datos«, afirma Anurag Kahol, CTO de Bitglass, compañía experta en ciberseguridad.
Kahol recomienda utilizar «soluciones multifacéticas» que aplican el control de acceso en tiempo real, detectan las configuraciones erróneas mediante la gestión de la postura de seguridad en la nube, cifran los datos sensibles en reposo y gestionan el intercambio de datos con partes externas. Asimismo, evitan la fuga de datos.
Es con este tipo de sistemas como las organizaciones pueden «garantizar la privacidad y la seguridad de la información de los clientes», subraya Kahol.
No está claro si la información de los clientes afectados se ha usado con intenciones maliciosas. Pero, dado que Prestige Software tiene su sede en Europa y los datos expuestos pertenecen a personas de todo el mundo, incluidos ciudadanos de ciudadanos europeos; la empresa debe prepararse para una fuerte multa y penalización basada en el RGPD.
Fuente: https://www.20minutos.es/noticia/4468290/0/un-fallo-de-seguridad-expone-datos-personales-y-financieros-de-millones-de-clientes-de-booking-y-expedia/