Egy új adatszegés több mint 10 millió szállodai ügyfelet érinthetett szerte a világon
Egy népszerű szállodafoglalási szolgáltatás több mint 10 millió szálloda vendégének adatait tárta fel, akik a világ minden táján meglátogatták a helyeket.
Az esetet egy rosszul konfigurált AWS vödör okozta. A Website Planettel dolgozó biztonsági szakértők beszámolója szerint, akik felfedezték a szivárgó Amazon kiszolgáló vödröt, óriási 24 gigabájtnyi adat érintett. Sok nyilvántartás több olyan vendég adatait tartalmazza, akik ugyanazt a foglalást osztották meg, így az érintett személyek száma még magasabb, mint a foglalási nyilvántartások teljes száma.
Meglepő módon a Web Planet arról számol be, hogy a 2013-ig nyúló nyilvántartások évnyi hitelkártya-információt tartalmaztak, amelyeket "minden védelem nélkül" a szerveren tároltak. Hogy jobban áttekinthesse az eset terjedelmét és az emberek által érintett események hatalmas számát, a Web Planet kijelentette, hogy 2020 augusztusától kezdve 180 000 adatbázis-nyilvántartás volt, abban az évben, amikor a foglalások minden idők legalacsonyabb szintje közelében vannak. a Covid-19 járvány.
A kiszivárogtatott adatbázisban található információk jóval meghaladják a hitelkártya-nyilvántartásokat, és magukban foglalják az ügyfelek nevét, e-mailt, a származási ország szerinti azonosító számokat, valamint a megfelelő személyi igazolványokat és telefonszámokat is. A nem biztonságos adatbázisban szereplő hitelkártya-információk tartalmazzák a tulajdonos nevét, a kártya számát és a CVV-t - lényegében minden egyes részletet, amire szüksége van a kártya használatához, és bármiért fizetnie kell online.
Hitelkártyák és személyes adatok voltak kitéve
A kiszivárogtatott adatbázis számos különféle foglalási portál adatait is tartalmazta, többek között a Booking dot com, a Hotels dot com és az Expedia oldalain. Valószínű, hogy minden egyes, a Cloud Hospitality szolgáltatásait igénybe vevő foglalási és foglalási szolgáltatást érint. A Website Planet azonban világossá tette, hogy a megosztott felhőszolgáltatást használó egyes webhelyek nem hibásak az adatmegjelenítésért.
Nincs bizonyíték arra, hogy valaki hozzáférett volna az adatokhoz, mielőtt a Web Planet felfedezte volna a rosszul konfigurált adatbázist, de ha ez valóban így lenne, a biztonsági szakértők szerint "óriási következményekkel járna" az érintettek számára.
A hibás adatbázist azonnal eltávolították, miután a Web Planet közvetlenül kapcsolatba lépett az Amazon Web Services céggel, hogy erről tájékoztassa őket.