Veľký únik dát z nadnárodného rezervačného systému – unikli informácie o miliónoch hotelových hostí


Spoločnosť Prestige Software prevádzkuje systém s názvom Cloud Hospitality, ktorý spája rezervačné systémy jednotlivých hotelov s veľkými rezervačnými platformami ako Booking.com, Hotels.com alebo Expandia. Spoločnosť využíva cloudové služby AWS S3 a vďaka chybnej konfigurácii API sa útočníkom podarilo získať prístup do cloudového úložiska, kde sa nachádzalo viac ako 10 miliónov dokumentov o celkovej veľkosti 24.4 GB.

Útočníkom sa podarilo získať citlivé informácie o zákazníkoch hotelov a nezabezpečené údaje z platobných kariet. Dokumenty uložené v chybne zabezpečenom cloudovom úložisku sú datované až do roku 2013. Len za august 2020 sa v úložisku nachádzalo viac ako 180 000 záznamov aj s citlivými údajmi zákazníkov.

Podobný útok a odcudzenie dát je veľmi nebezpečné. Keďže cloudové úložisko obsahovalo detailné osobné údaje jednotlivých zákazníkov, tí môžu byť následne vystavení cieleným podvodom a phishingovým útokom, ktoré ak sú kvalitne pripravené, môžu mať vysoké percento úspešnosti.

Firma Prestige Software má sídlo v Španielsku, to znamená, že sa na ňu vzťahujú aj prísne európske regulácie a nariadenia GDPR (General Data Protection Regulation), ktoré trestajú úniky dát podobného rozsahu vysokými pokutami až do výšky stoviek miliónov eur. Napríklad naposledy hrozila spoločnosti British Airways pokuta až 183 miliónov libier za únik citlivých dát o 430 tisícoch zákazníkov.