Especialista em hospedagem na web expõe grande falha de dados na popular plataforma de gerenciamento de hotéis
Uma enorme vulnerabilidade de segurança que afeta uma plataforma de reserva de hotel popular tem exposto informações confidenciais relacionadas a centenas de milhares de pessoas para reservas de vários anos, foi revelado. A falha de segurança se refere a um bug AWS A caixa de correio S3 que armazena dados, incluindo nomes, endereços de e-mail, números de cartão de crédito e uma série de outras informações de identificação pessoal.
A empresa de tecnologia espanhola Prestige Software fornece aos hotéis acesso à sua plataforma de gestão Cloud Hospitality há vários anos, oferecendo um serviço que automatiza a disponibilidade online em vários sites de reserva.
No entanto, uma equipe de segurança do Website Planet descobriu recentemente que mais de 10 milhões de arquivos de log individuais, que datam de 2013, estavam sendo armazenados usando a solução sem nenhum protocolo de segurança estabelecido.
Com base nas informações de pagamento que foram expostas neste vazamento específico, parece que o Prestige Software não está em conformidade com o Padrão de Segurança de Dados da Indústria de Cartões de Pagamento. Isso pode resultar na revogação da capacidade da empresa de processar as informações de pagamento.
Dados inseguros
Não é fácil indicar exatamente quantas pessoas teriam exposto os dados como resultado do acidente de segurança, e é provável que algumas reservas sejam para reservas de grupos, enquanto outras teriam sido canceladas antes que as informações de pagamento fossem obtidas. No entanto, o grande volume de dados expostos identifica a Cloud Hospitality como uma solução popular, que é usada por alguns dos maiores nomes do espaço de hospitalidade online, incluindo Expedia, Hotels.com e Booking.com.
Como os dados não estavam protegidos, também não é possível saber se informações confidenciais foram acessadas. Embora ainda não haja nenhuma evidência de atividade fraudulenta resultante da exposição, os cibercriminosos podem escolher examinar os dados antes de cometer atos criminosos.
Depois de ser notificado sobre a vulnerabilidade, a AWS passou a proteger o balde S3 no dia seguinte. Ainda assim, qualquer informação obtida ilegalmente pode ser usada para tentar transações financeiras maliciosas, golpes de phishing ou a injeção de ferramentas de malware, então, como sempre, é importante que os usuários online permaneçam vigilantes para ameaças potenciais.
Através da Planeta do site
