Grave falla di sicurezza nel sistema di gestione delle prenotazioni di noti portali come Booking, Expedia e Hotels.com che ha esposto a potenziali rischi i dati di milioni di ospiti delle strutture alberghiere. La scoperta è stata fatta dal team di sicurezza di Website Planet, piattaforma di web hosting. Il programma in questione si chiama Cloud Hospitality ed è fornito dalla società spagnola Prestige Software che gestisce, così, sul cloud le disponibilità delle strutture e attraverso cui passano tutti i dati relativi alle prenotazioni, comprese le modalità di pagamento.
1
La falla è stata scovata su un bucket S3 di Amazon Web Services non configurato correttamente esponendo appunto i dati di milioni di clienti. I file di registro sarebbero oltre 10 milioni per un totale di 24,4 GB risalenti al 2013, includendo nomi completi, indirizzi e-mail, numeri di telefono, tutti i dettagli della prenotazione e delle carte di credito (numero, nome del titolare, CVV e data di scadenza).
Secondo quanto riportato da Website Planet, l’azienda avrebbe conservato per anni tutti questi dati senza alcuna protezione, esponendo milioni di persone a potenziali rischi e ad attacchi online.
L’indagine ha evidenziato che il bucket S3 era ancora attivo fino a quando non è stata scoperta la falla, corretta poi in 24 ore.
È bene sottolineare che i siti coinvolti come Booking, Expedia e Hotels.com non sarebbero responsabili per quanto accaduto. La responsabilità sarebbe invece da attribuire a Prestige Software, che non ha rispettato tutti i requisiti necessari di sicurezza. Fino a questo momento, non sembrano esserci prove di un potenziale sfruttamento dei dati esposti da parte di malintenzionati. Inoltre, data la mole di informazioni trapelate, risulta difficile stabilire il numero di persone potenzialmente a rischio, che potrebbe essere molto alto.
Fonte: Tom’s Hardware