感谢我们在Planet网站上的安全团队,我们可以透露,一个酒店预订平台一直在泄露全球数百万酒店客人的高度敏感数据,最早可以追溯到2013年,其中包括10万人的信用卡详细信息。
Prestige Software总部设在马德里和巴塞罗那,向酒店出售名为Cloud Hoitality的渠道管理平台,该平台可以自动在Expedia和Booking.com等在线预订网站上提供酒店服务。
该公司在没有任何保护措施的情况下存储了酒店客人和旅行社多年的信用卡数据,使数百万人面临欺诈和网络攻击的风险。
PII数据:酒店客人的全名、电子邮件地址、身份证号码和电话号码。
预订详情:预订号码、入住日期、每晚支付的价格、客人提出的任何额外要求、人数、客人姓名等等。
威望软件将云酒店数据存储在配置错误的Amazon Web Services(AWS)S3存储桶上,这是一种流行的基于云的数据存储形式。
结果,大量数据被曝光:自2013年以来,总共有超过1000万个个人日志文件。S3存储桶仍在运行并在使用中,在我们调查后的几个小时内就有新的记录被上传。
仅2020年8月,S3存储桶就包含了超过18万条记录。其中许多与许多网站上的酒店预订有关,尽管这段时间全球酒店预订量处于历史最低水平。
这些记录中的每一个都暴露了属于进行预订的个人的敏感和有价值的个人身份信息(PII)数据。
然而,由于暴露的数据量,很难说有多少人受到了影响。此外,许多数据记录包含同一保留地(例如,家庭)上许多人的PII数据。最后,一些数据记录包括修改和取消。
出于这些原因,实际曝光的人数可能远远高于记录的预订人数。
下面的屏幕截图是在S3存储桶中拍摄的,显示了渠道经理记录的预订如何暴露了敏感的PII和信用卡数据。
根据此次泄露的详细信用卡数据,Prestige Software违反了支付卡行业数据安全标准(PCIDSS)。
PCIDSS是各大信用卡公司制定的信息安全标准,通过制定公司存储、传输和处理所有信用卡数据的协议来减少对客户的欺诈行为。
公司或在线供应商不遵守PCIDSS或违反其协议可能导致接受和处理信用卡付款的能力被剥夺。
根据数据库中存储的数据量,Prestige Software的渠道经理Cloud Hoitality是一个流行的解决方案。它不仅在冠状病毒危机期间仍在积极使用,而且还与世界上许多最大的酒店预订网站相连。
威望软件公司没有在其网站上列出其客户名单。然而,S3存储桶包含的数据似乎来自许多被列为Cloud Hoitality客户的知名来源,包括但不限于:
*注:我们没有查看S3存储桶中暴露的所有文件,所以这不是一个完整的列表。连接到云酒店的每个网站和预订平台都可能受到影响。这些网站对由此暴露的任何数据不负任何责任。
渠道管理器被用来将Booking.com和Expedia等在线预订网站与酒店用来管理空房和空房的软件联系起来。渠道经理确保酒店房间的可用性在每个相关网站(有时是上百个网站)上更新和分发。
例如,当你在Agoda上的一家酒店预订房间时,其他人将不再可以在Expedia上预订该房间。
在世界上许多最大的酒店预订网站和在线旅行社(OTA)上列出住宿信息的酒店,以及为客户预订房间的传统旅行社,都使用云酒店服务。
来自世界各地的数百万人可能在这次数据泄露事件中暴露出来。
我们不能保证在我们找到数据之前,没有人访问过S3存储桶并窃取了数据。
到目前为止,还没有这种情况发生的证据。然而,如果是这样的话,将会对那些被曝光者的隐私、安全和财务健康产生巨大的影响。
网络罪犯可以利用暴露的PII数据和信用卡信息实施信用卡欺诈,并从被入侵的人那里窃取信息。
此外,同样的数据可能被用于其他形式的金融欺诈或身份盗窃。
网络犯罪分子可以利用在漏洞中暴露的联系信息,以酒店客人为目标,进行诈骗、网络钓鱼活动和恶意软件攻击。
有了泄密的PII数据,很容易建立信任,并鼓励人们点击嵌入恶意软件的链接或提供有价值的私人数据。
网络罪犯可以利用酒店住宿的细节来制造令人信服的骗局,并将目标对准那些住在昂贵酒店以获得最大回报的富人。
最后,如果任何一家酒店披露了关于某人生活的令人尴尬或泄密的信息,就会用来敲诈和勒索他们。
有了关于一个人的酒店预订的详细信息,黑客可以访问暴露的文件,获取这些详细信息,联系酒店,并更改预订上的日期和名称。
然后,他们可以免费接管某人的假期,或者假扮成旅行社,把预订的房间卖给毫无戒心的顾客。当然,他们可以不止一次这样做。
威望软件公司总部设在欧盟国家西班牙,它一直在为欧盟各地的许多人处理数据。
这完全属于欧盟GDPR数据法规的管辖范围。因此,该公司必须严格遵守报告漏洞的规则,并确保其系统中不再存在漏洞。
如果未能做到这一点,它可能面临欧盟的法律行动和巨额罚款。
由于这起数据泄露事件,威望软件面临着巨额业务损失。如果酒店和在线旅行社不相信该公司会保护客户的数据,或者觉得他们要对由此造成的任何损害负责,他们可能会转而使用另一种解决方案。
渠道经理的市场已经饱和,竞争非常激烈。任何想要更换供应商的企业都有很多选择。
此外,由于违反了PCI标准,Prestige Software未来可能会失去处理信用卡信息的能力。如果是这样的话,它将无法接受信用卡支付,使该公司几乎不可能运营。
威望软件公司披露了全球数百万人的私人数据和信用卡详细信息,时间跨度近十年。
国际旅游和酒店业已经被冠状病毒危机摧毁,许多公司挣扎着生存,数百万人失业。
在这样一个微妙的时期,由于暴露了如此多的数据,并将如此多的人置于危险之中,Prestige Software可能会因为这起泄密事件而面临公关灾难。
同样,考虑到渠道管理行业的丰富选择,客户和合作伙伴可能会因此决定公开与公司保持距离。
与此同时,竞争对手可以利用这篇报道的报道,将客户转移到竞争对手的平台上,从而带来巨额收入。
我们调查了几家可能对数据泄露负有责任的公司。然而,考虑到暴露的数据量和敏感性,我们决定直接联系AWS,以便它能迅速解决问题,并确保漏洞得到解决。
与此同时,我们继续进行调查。我们还从泄密事件中暴露的电子邮件地址中抽取样本,并确认它们属于真人,从而证实了这些数据是真实的。
最终,我们确认Prestige Software是数据的所有者,也是泄密的责任方,并与该公司取得了联系。
不幸的是,考虑到在这次入侵中受到影响的酒店和旅游网站的数量,如果有人在我们之前发现了这些数据,就不可能帮助任何已经暴露的人。
如果您是本报告中列出的任何网站的客户,并且担心此泄密事件可能对您造成的影响,请直接与该公司联系,以确定它正在采取哪些措施来保护您的数据。
彻底审查所有第三方软件提供商和解决方案。要求提供审计和定期安全监控的证明。
如果Prestige Software暴露了您客户的数据,您需要通知客户他们可能需要注销信用卡,并采取适当措施保护其身份。
我们希望帮助我们的读者在使用任何网站或在线产品时保持安全。
不幸的是,大多数数据泄露事件从未被负责的公司发现或报告。因此,我们决定做这项工作,找出将人们置于危险境地的漏洞。
我们遵循道德黑客的原则,遵守法律。我们只调查我们随机发现的开放的、不受保护的数据库,我们从不针对特定的公司。
网站星球是网站设计师、数字营销人员、开发者和在线企业的首选资源。你会找到适合所有人的工具和资源,从初学者到专家-诚实是我们的首要任务。
我们有一个经验丰富的道德安全研究专家团队,他们发现和披露严重的数据泄露,这是为广大在线社区提供的免费服务的一部分。这包括唐纳德·特朗普(Donald Trump)2020年竞选应用程序中的一个漏洞,以及世界各地教堂的一个网站创建者泄露私人数据的漏洞。