Több millió ügyféladat került ki…booking.com, hotels.com stb.
Egy barcelonai illetőségű cég, a Prestige Software lehet felelős a 2020. november elején felfedezett adatvédelmi incidensért, melyben több millió olyan ügyfél adatai váltak hozzáférhetővé, akik az elmúlt hét évben online foglaltak maguknak szállást valamelyik népszerű online foglalási szolgáltatás segítségével. Az érintett szolgáltatások (a teljesség igénye nélkül): Booking.com, Expedia, Agoda, Amadeus, Hotels.com, Hotelbeds, Omnibees, Sabre.
Az incidenst az okozta, hogy a cég nem titkosította megfelelően egyik szerverét, ahol az előbb felsorolt oldalakra vonatkozó fizetési adatok is tárolva voltak. A 10 millió bejegyzésből álló, mintegy 2,44 Gb méretű adatcsomag 2013 óta tárolt érzékeny személyes adatokat tartalmazott, melyhez a hozzáférés semmilyen módon nem volt korlátozva. A hibát adatvédelmi kutatók fedezték fel, ezt követően jutottak el a tulajdonoshoz, a Prestige Software-hez.
Ez a cég felelős a „Cloud Hospitality” nevű szolgáltatás működtetéséért, mely alapján a látogatók valós időben láthatják a rendelkezésre álló szabad szobák számát. Ezt a rendszert használja a Booking és az Expedia is. Az előzetes tapasztalatok szerint sok bejegyzés egynél több ügyfélre vonatkozó adatot is tartalmaz, így úgy becsülik, hogy az érintett személyek száma meghaladhatja a 10 milliót.
A publikusan elérhető adatok közé tartozott az ügyfelek:
- teljes neve,
- személyazonosító okmányának száma,
- e-mail címe,
- telefonszáma,
- hotel-foglalási száma,
- tartózkodásának ideje és hossza,
- bankkártyájának száma, lejárati ideje és CVV kódja.
Bár, mint korábban említettük, bizonyos tárolt adatok akár 2013-ból is származhattak, az adatok múlt hónapig elérhetők voltak. Csak 2020 augusztusából 180.000 bejegyzés volt elérhető.
A Website Planet – az incidenst felfedező csoport – szerint minden olyan oldal érintett lehet, ami a cég Cloud Hospitality platformját használta. Az eddigi információk alapján nincs rá bizonyíték, hogy az adatok bármilyen módon felhasználásra kerültek volna visszaélési céllal, de figyelembe véve az incidens hosszát, az adatok egy része vagy teljessége már jó eséllyel elérhető lehet a dark weben más adatokkal együtt.
A kikerült adatok birtokában támadók számos támadást hajthatnak végre az érintettek ellen, egy „egyszerű” bankkártyás visszaéléstől akár az identitásuk ellopásáig. A Covid-19 járvány már eddig is súlyos csapásokat mért az idegenforgalmi szektorra, így a Prestige Software-nek is különösen rosszkor jött ez az incidens; várhatóan súlyos kérdésekre kell majd válaszolniuk az érintett cégek felé, akiknek azonban valószínűsíthetően adatfeldolgozójaként járt el a cég, így az incidens mindenképpen érinti őket is. Kérdés, hogy vajon az adatkezelő cégek a GDPR szerinti határidőben bejelentették-e az incidenst.
A véletlenül titkosítatlan szerverek nem először okoznak fejfájást az őket üzemeltető cégeknek, korábban a Virgin Media-tól került ki 900.000 ügyfél adata, de nemrég a világ egyik legnagyobb gyógyszercége, a Pfizer találta magát hasonló helyzetben.