La piattaforma spagnola di prenotazione alberghiera Prestige Software, che ospita i dati dei clienti di grossi siti di prenotazione online come Expedia e Booking.com, ha esposto online i dati mi milioni di utenti. Colpa di un database mal protetto, che conteneva informazioni altamente sensibili di milioni di ospiti di hotel in tutto il mondo. Il database raccoglieva 24,4 GB di dati dal 2013 in avanti, compresi i numeri delle carte di credito di 100.000 persone.

Il problema riguarda nel dettaglio la piattaforma di gestione Cloud Hospitality, che permette agli hotel di automatizzare la notifica della loro disponibilità sui siti di prenotazione online. I dati venivano memorizzati da anni senza alcuna protezione. Questo ha messo milioni di persone a rischio di frodi e di cyber attacchi.

I dati non protetti comprendono nomi completi, indirizzi email, numeri di identificazione nazionali e numeri di telefono degli ospiti di hotel. Sono inoltre compresi i numeri di carte di credito, accompagnati dal nome del titolare, il CVV e data di scadenza, e dettagli di pagamento.

In quest'ultima categoria rientrano il costo totale delle prenotazioni alberghiere, il numero di prenotazione, le date di soggiorno, il prezzo pagato per ciascuna notte, il numero e il nome degli ospiti, ed eventuali richieste aggiuntive.

Perché i dati erano esposti

Prestige Software archiviava tutti i dati di Cloud Hospitality in un bucket AWS S3 che non era configurato correttamente. Questo ha portato all'esposizione di oltre 10 milioni di singoli file di log che vanno indietro nel tempo fino al 2013. Quando i ricercatori per la sicurezza hanno scoperto il problema, il bucket era ancora attivo e in uso, con nuovi record caricati poco prima.

Figurano infatti oltre 180.000 record relativi ad agosto 2020, per prenotazioni alberghiere effettuate tramite numerosi siti web. Al momento, fanno sapere gli esperti di sicurezza, è difficile quantificare il numero di persone interessate proprio per via della grande quantità di dati esposti. Anche perché molti dei log contengono informazioni relative a intere famiglie, con tanto di modifiche e cancellazioni. In sostanza, il numero delle persone interessate potrebbe essere di gran lunga superiore a quello dei record.

Quali sono i siti coinvolti

Cloud Hospitality è una soluzione molto popolare, collegata a molti dei più grandi siti di prenotazione alberghiera del mondo. Quelle sicuramente coinvolte sono Agoda, Amadeus, Booking.com, Expedia, Hotels.com, Hotelbeds, Omnibees e Sabre. La lista tuttavia potrebbe essere molto più lunga.

È da sottolineare che nessuno di questi siti web è responsabile dell'esposizione dei dati. La responsabilità è in toto di Prestige Software, che stando a quanto riportano gli esperti sarebbe colpevole della violazione del Payment Card Industry Data Security Standard. Noto come PCI DSS, è uno standard di sicurezza delle informazioni stabilito dalle principali società di carte di credito, che ha la funzione di tutelare dalle frodi i propri clienti mediante protocolli che regolamentano il modo in cui le aziende archiviano, trasmettono e gestiscono tutti i dati delle carte di credito.

La violazione di questo standard potrebbe costare a Prestige Software la perdita del diritto di gestire in futuro i dati delle carte di credito, rendendole di fatto impossibile proseguire con l'attività. 

Prestige Software, inoltre, dovrà rispondere dell'eventuale violazione del GDPR, dato che ha sede in Spagna. Non ultimo, la gravità di quanto accaduto avrà probabili conseguenze sull'immagine dell'azienda.  

Come funziona Cloud Hospitality

Cloud Hospitality è in sostanza un channel manager, che ha la funzione di collegare siti web di prenotazioni online come Booking.com ed Expedia con il software utilizzato dagli un hotel. Così facendo la disponibilità ricettiva delle strutture è sempre aggiornata in maniera automatica su tutti i siti web pertinenti, che possono essere anche centinaia.

Questa funzione è importante, perché nel momento in cui viene prenotata una camera tramite Agoda, la stessa non sarà più disponibile su Expedia o su altri canali. Per questo Cloud Hospitality è utilizzato dagli hotel, dalle agenzie viaggio e da moltissime piattaforme per la prenotazione online nel mondo.

I rischi per gli utenti

Una potenziale violazione di dati interessa milioni di persone in tutto il mondo. Potenziale perché al momento non è dato sapere se uno o più cyber criminali abbia acceduto al bucket AWS non protetto. Ad oggi non risultano prove, non è detto che non emergeranno in futuro. Intanto il bucket è stato messo al sicuro.

Nel malaugurato caso la violazione si fosse verificata, gli utenti sono tutti potenziali vittime di frodi finanziarie e furti di identità. I criminali informatici potrebbero utilizzare i dati esposti e le informazioni delle carte di credito per fare acquisti o per impersonare le persone di cui conoscono i dati anagrafici, i parenti e gli spostamenti.

Sono inoltre possibili campagne di phishing con annessi attacchi malware, attingendo alle informazioni sui soggiorni negli hotel e sugli importi spesi. Per le prenotazioni recenti (sebbene poco probabili in epoca COVID), i cyber criminali potrebbero persino contattare gli hotel e cambiare le prenotazioni a proprio nome, per trascorrere le vacanze a spese altrui.