Successivo
Booking hotel

Security

Booking, Expedia e Hotels, hack delle prenotazioni

Luca Colantuoni | 9 Novembre 2020

Sicurezza

A causa di un’errata configurazione del software utilizzato da hotel e siti di prenotazione sono stati esposti i dati sensibili di milioni di utenti nel mondo.

I ricercatori di Website Planet hanno scoperto un “data breach” della piattaforma Cloud Hospitality sviluppata da Prestige Software e utilizzata per la gestione delle prenotazioni da numerosi siti online, tra cui Booking, Expedia e Hotels. A causa di un errata configurazione del bucket S3 di AWS (Amazon Web Services) sono stati esposti i dati di milioni di utenti in tutto il mondo.

Cloud Hospitality è un “channel manager” utilizzato per collegare i siti di prenotazione online con i software degli hotel. In pratica consente di mostrare la disponibilità delle camere in tempo reale su più siti in contemporanea. I dati raccolti da Cloud Hospitality sono conservati su AWS. L’errore di configurazione ha permesso l’accesso a numerose informazioni sensibili: nomi, indirizzi email e numeri di telefono degli utenti, dettagli sulle prenotazioni (date, prezzo per notte, numero di persone) e sulle carte di credito (numero, scadenza, nome proprietario, codice CVV).

In base alle indagini di Website Planet sono stati esposti oltre 10 milioni di log registrati a partire dal 2013. Non è possibile stabilire con esattezza il numero di utenti, ma si tratta di milioni di persone. Prestige Software, un’azienda spagnola, non fornisce i nomi dei clienti, ma tra i più noti ci sono sicuramente Booking, Expedia e Hotels.

Al momento non sono stati segnalati usi fraudolenti dei dati da parte di qualche malintenzionato. I cybercriminali potrebbero compiere vari tipi di azioni: furti di identità, frodi finanziarie, attacchi mirati (truffe, phishing, malware), estorsioni. Potrebbero anche cambiare i nomi degli ospiti e le date delle prenotazioni per fare una vacanza gratis.

Fortunatamente il problema è stato prontamente risolto da Amazon. Prestige Software rischia una multa salata dalla Commissione Europa per violazione del GDPR (Regolamento generale sulla protezione dei dati) e di perdere la possibilità di gestire le informazioni delle carte di credito, a causa del mancato rispetto del Payment Card Industry Data Security Standard (PCI DSS).