Prestige Software, que proporciona servicios a miles de sitios web de reservas, ha expuesto, según se informa, los datos privados y los detalles de las tarjetas de crédito de millones de personas en todo el mundo durante varios años.
Prestige Software facilita los servicios de reserva a través de su plataforma Cloud Hospitality para empresas como Booking.com, Expedia, Hotels.com y muchos otros. El equipo de seguridad de Website Planet reveló recientemente que la plataforma de reservas de hoteles ha estado exponiendo los datos de los clientes durante casi siete años a través de un bucket de S3 de Amazon Web Services (AWS) mal configurado.
Según los hallazgos del equipo, los datos expuestos incluyen:
Datos del Registro: nombres completos, direcciones de correo electrónico, números de identificación nacional y números de teléfono de los huéspedes del hotel.
Detalles de la tarjeta de crédito: número de tarjeta, nombre del titular de la tarjeta, CVV y fecha de vencimiento.
Detalles de pago: costo total de las reservas de hotel.
Detalles de la reserva: número de reserva, fechas de la estadía, precio pagado por noche, solicitudes adicionales hechas por los huéspedes, número de personas, nombres de los huéspedes y mucho más.
El equipo encontró más de 10 millones de archivos de registro individuales que se remontan a 2013, con más de 180.000 registros solo de agosto de 2020.
El depósito S3 expuesto todavía estaba vivo y en uso en el momento del descubrimiento, y se cargaron nuevos registros a las pocas horas de nuestra investigación, dijo el equipo.
La filtración ha expuesto potencialmente a millones de personas al fraude, la extorsión e incluso al correo negro. El equipo no puede garantizar que otra persona no haya accedido al depósito S3 antes que ellos.
“Hasta el momento, no hay evidencia de que esto suceda. Sin embargo, si lo hiciera, habría enormes implicaciones para la privacidad, la seguridad y el bienestar financiero de los expuestos ”, dijeron los investigadores.
Este tesoro oculto de datos financieros personales lo convierte en el "objetivo perfecto" para obtener ingresos atractivos en la deep web.
Prestige Software se enfrenta a numerosos obstáculos legales en aspectos como el Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) y el Reglamento general de protección de datos (GDPR) de la UE.
El equipo de seguridad de Website Planet están enumerando cerca de una docena de sitios de reserva afectados, lo que significa que las personas en todas las geografías se verán afectadas, nuevamente, si la filtración aparece en la web oscura. Si ese resulta ser el caso, los actores malintencionados podrían usar la información para armar campañas de phishing convincentes, estafas fraudulentas e incluso extorsionar a algunos clientes, "si alguna estancia en un hotel revela información vergonzosa o comprometedora sobre la vida de una persona", en el palabras.
Si sabe que ha hecho negocios con Agoda, Amadeus, Booking.com, Expedia, Hotels.com, Hotelbeds, Omnibees o Sabre en los últimos siete años, esté atento a sus extractos bancarios.
Además, esté atento a cualquier correo electrónico o mensaje SMS sospechoso que llegue a su bandeja de entrada. No responda a los mensajes que le soliciten su nombre de usuario, contraseña o datos bancarios. Si tiene motivos para creer que es una víctima, comuníquese con Prestige Software para saber cómo están respondiendo a este incidente.
Prestige Software confirmó a Website Planet que poseía los datos expuestos, pero aún no ha reconocido públicamente la filtración.