Investigadores de segurança do portal Website Planet revelaram recentemente uma falha de segurança que pode ter exposto milhares de dados pessoais de clientes em plataformas de hotéis a nível mundial, sobretudo que utilizam plataformas de reserva online.
A Prestige Software é uma empresa sediada em Espanha, que possui no seu portefólio de produtos o software Cloud Hospitality, uma plataforma cloud que permite aos hotéis gerirem as suas reservas e capacidade com os clientes através de sites online.
Esta plataforma é utilizada por nomes como a Expedia e Booking.com, entre outras de renome mundial. No entanto, uma falha de segurança nos sistemas da empresa estaria a expor informação pessoal e sensível de milhares de clientes, com datas que vão até 2013.
Os investigadores descobriram que o software da empresa encontrava-se a armazenar os dados dos clientes de hotéis em todo o mundo numa base de dados na Amazon Web Services (AWS) S3. No entanto, esta base de dados encontrava-se incorretamente configurada, colocando toda esta informação disponível publicamente.
A base de dados continha mais de 10 milhões de registos diferentes, que datam de clientes até 2013 que usaram plataformas online para reservas em hotéis. Apenas de Agosto de 2020 existem cerca de 180.000 registos disponíveis.
Cada um destes registos possui informação sensível sobre os clientes, entre as quais se encontra os nomes completos, emails, moradas, números de identificação nacional, números de telefone, dados do cartão de crédito, dados das reservas, entre outras informações consideravelmente sensíveis.
Tendo em conta o elevado número de registos disponíveis nesta base de dados, acreditam-se que podem existir milhares de clientes potencialmente afetados. Tendo em conta que informação relacionada com cartões de crédito encontrava-se igualmente acessível publicamente, esta pode ter sido usada para roubos ou potenciais esquemas se acedida maliciosamente.
Alguns dos nomes de sites afetados por esta falha incluem:
- Agoda
- Amadeus
- Booking.com
- Expedia
- Hotels.com
- Hotelbeds
- Omnibees
- Sabre
- Entre outros
Se usou alguma destas plataformas para reservar uma estadia num hotel desde 2013, existe uma forte possibilidade que os seus dados pessoais estejam no sistema agora descoberto. A lista de sistemas afetados possivelmente será muito superior, mas acredita-se que todos os clientes que usem a plataforma da Cloud Hospitality estejam afetados.
Tendo em conta o elevado número de registos disponíveis, os investigadores terão contactado diretamente a Amazon para corrigir o problema, sendo que o sistema foi corrigido no dia seguinte ao contacto. Apenas mais tarde se confirmou que o mesmo pertencia à empresa Prestige Software, que também confirmou ser a detentora da informação.
Tendo em conta o número de registos elevados, não se sabe até ao momento se a informação terá sido acedida por terceiros para fins maliciosos, mas tendo em conta que o sistema estaria publicamente acessível, existe uma forte possibilidade de tal ter ocorrido em algum momento no passado.
Nenhum comentário
Seja o primeiro!