Citlivá data z Booking.com a dalších rezervačních webů byla volně přístupná
9.11.2020, Jáchym Šlik, aktualita
Jména, kontaktní údaje nebo dokonce čísla pasů a platebních karet milionů hostů z celého světa ukládala firma na špatně konfigurovaném serveru, odkud byla skoro volně přístupná. V ohrožení byli zákazníci služeb jako Booking.com, Hotels.com či Agoda.
Rezervační portály mohou být skvělým způsobem, jak ušetřit čas a mnohdy také peníze při shánění hotelu. Zároveň ovšem představují potenciální riziko pro naše osobní údaje, což se v minulosti již několikrát potvrdilo. Informace jsou totiž předávány hotelům, které využívají rozdílné standardy při ochraně osobních údajů a obvykle pracují také se softwarem třetích stran. A právě poslední bod se málem stal osudným pro miliony zákazníků z celého světa, kteří využívají nejznámější rezervační portály.
Jako slabý článek se ukázalo zabezpečení španělské společnosti Prestige Software, která hoteliérům nabízí platformu Cloud Hospitality. Provozovatelé ubytovacích zařízení nemusí spravovat rezervace na jednotlivých portálech, ale využívají jediné rozhraní, kde mohou nastavit dostupnost a další údaje. Firma Prestige Software ukládala data o hostech na chybně konfigurovaných serverech Amazon Web Services (AWS) S3, odkud byla skoro volně přístupná komukoliv. Tento vážný bezpečnostní problém naštěstí včas objevil výzkumný tým Website Planet, ale nelze vyloučit, že se k datům nedostal dříve útočník.
Na serverech byla případným hackerům jako na stříbrném podnosu naservírováno více než 10 milionů souborů o velikosti přes 24 GB. Jejich obsahem jsou údaje o milionech zákazníků z celého světa, kteří využívali oblíbené rezervační portály, mezi které patří Agoda, Booking.com, Expedia, Hotels.com a desítky dalších. Data údajně sahají až do roku 2013, ale objeveny byly také čerstvé záznamy – více než 180 tisíc pocházelo nejpozději ze srpna 2020, a to i přes omezené cestování kvůli pandemii COVID-19.
Uniklé údaje obsahují celá jména, čísla osobních dokladů, e-mailové adresy a telefonní čísla hostů. Minimálně ve stovkách tisících případů byla dostupná také čísla kreditních karet včetně data vypršení platnosti a bezpečnostního kódu CVV2. Potom nechyběly ani samotné údaje o rezervaci, takže potenciální útočník by mohl zjistit, kdy a v jakém hotelu jste byli, kolik jste za pobyt zaplatili, jména hostů apod. Suma sumárum, hackeři by mohli bez problémů zneužít platební kartu k nákupům na internetu nebo využít dostupné údaje ke krádeži identity, phishingu a dalším podvodům.
Není možné přesně určit, kolik uživatelů bylo nesprávnou konfigurací serveru ohroženo. Souborů je totiž obrovský počet a údaje o některých zákaznících se mohou opakovat, jindy zase jediná rezervace obsahovala údaje o více osobách (např. rodiny). Společnost Prestige Software se zatím k pochybení nevyjádřila.
Zdroj: Websiteplanet.com