La piattaforma spagnola di prenotazione alberghiera Prestige Software, che ospita i dati dei clienti di grossi siti di prenotazione online come Expedia e Booking.com, ha
esposto online i dati mi milioni di utenti. Colpa di un database mal protetto, che conteneva informazioni altamente sensibili di milioni di ospiti di hotel in tutto il mondo. Il database raccoglieva
24,4 GB di dati dal 2013 in avanti, compresi i numeri delle carte di credito di 100.000 persone.
Il problema riguarda nel dettaglio la piattaforma di gestione Cloud Hospitality, che permette agli hotel di automatizzare la notifica della loro disponibilità sui siti di prenotazione online.
I dati venivano memorizzati da anni senza alcuna protezione. Questo ha messo milioni di persone a rischio di
frodi e di
cyber attacchi.
I dati non protetti comprendono nomi completi, indirizzi email, numeri di identificazione nazionali e numeri di telefono degli ospiti di hotel. Sono inoltre compresi i
numeri di carte di credito, accompagnati dal nome del titolare, il CVV e data di scadenza, e dettagli di pagamento.
In quest'ultima categoria rientrano il costo totale delle prenotazioni alberghiere, il numero di prenotazione, le date di soggiorno, il prezzo pagato per ciascuna notte, il numero e il nome degli ospiti, ed eventuali richieste aggiuntive.
Perché i dati erano esposti
Prestige Software archiviava tutti i dati di Cloud Hospitality in un
bucket AWS S3 che non era configurato correttamente. Questo ha portato all'esposizione di oltre 10 milioni di singoli file di log che vanno indietro nel tempo fino al 2013. Quando i ricercatori per la sicurezza hanno scoperto il problema, il bucket era ancora attivo e in uso, con nuovi record caricati poco prima.
Figurano infatti oltre
180.000 record relativi ad agosto 2020, per prenotazioni alberghiere effettuate tramite numerosi siti web. Al momento, fanno sapere gli esperti di sicurezza, è difficile quantificare il numero di persone interessate proprio per via della grande quantità di dati esposti. Anche perché molti dei log contengono informazioni relative a intere famiglie, con tanto di modifiche e cancellazioni. In sostanza, il numero delle persone interessate potrebbe essere di gran lunga superiore a quello dei record.
Quali sono i siti coinvolti
Cloud Hospitality è una soluzione molto popolare, collegata a molti dei più grandi siti di prenotazione alberghiera del mondo. Quelle sicuramente coinvolte sono Agoda, Amadeus, Booking.com, Expedia, Hotels.com, Hotelbeds, Omnibees e Sabre. La lista tuttavia potrebbe essere molto più lunga.
È da sottolineare che nessuno di questi siti web è responsabile dell'esposizione dei dati. La responsabilità è in toto di Prestige Software, che stando a quanto
riportano gli esperti sarebbe colpevole della
violazione del Payment Card Industry Data Security Standard. Noto come PCI DSS, è uno standard di sicurezza delle informazioni stabilito dalle principali società di carte di credito, che ha la funzione di tutelare dalle frodi i propri clienti mediante protocolli che regolamentano il modo in cui le aziende archiviano, trasmettono e gestiscono tutti i dati delle carte di credito.
La violazione di questo standard potrebbe costare a Prestige Software la
perdita del diritto di gestire in futuro i dati delle carte di credito, rendendole di fatto impossibile proseguire con l'attività.
Prestige Software, inoltre, dovrà rispondere dell'eventuale
violazione del GDPR, dato che ha sede in Spagna. Non ultimo, la gravità di quanto accaduto avrà probabili conseguenze sull'immagine dell'azienda.
Come funziona Cloud Hospitality
Cloud Hospitality è in sostanza un channel manager, che ha la funzione di collegare siti web di prenotazioni online come Booking.com ed Expedia con il software utilizzato dagli un hotel. Così facendo
la disponibilità ricettiva delle strutture è sempre aggiornata in maniera automatica su tutti i siti web pertinenti, che possono essere anche centinaia.
Questa funzione è importante, perché nel momento in cui viene prenotata una camera tramite Agoda, la stessa non sarà più disponibile su Expedia o su altri canali. Per questo Cloud Hospitality è utilizzato dagli hotel, dalle agenzie viaggio e da moltissime piattaforme per la prenotazione online nel mondo.
I rischi per gli utenti
Una potenziale violazione di dati interessa milioni di persone in tutto il mondo. Potenziale perché al momento
non è dato sapere se uno o più cyber criminali abbia acceduto al bucket AWS non protetto. Ad oggi non risultano prove, non è detto che non emergeranno in futuro. Intanto il bucket è stato messo al sicuro.
Nel malaugurato caso la violazione si fosse verificata, gli utenti sono tutti potenziali vittime di
frodi finanziarie e furti di identità. I criminali informatici potrebbero utilizzare i dati esposti e le informazioni delle carte di credito per fare acquisti o per impersonare le persone di cui conoscono i dati anagrafici, i parenti e gli spostamenti.
Sono inoltre possibili
campagne di phishing con annessi attacchi
malware, attingendo alle informazioni sui soggiorni negli hotel e sugli importi spesi. Per le prenotazioni recenti (sebbene poco probabili in epoca COVID), i cyber criminali potrebbero persino contattare gli hotel e cambiare le prenotazioni a proprio nome, per trascorrere le vacanze a spese altrui.