由于亚马逊网络服务S3存储桶配置错误,一家广泛使用的酒店预订平台曝光了1000万份与全球多家酒店客人相关的文件。这些记录包括敏感数据,包括信用卡详细信息。
威望软件的“云服务”被酒店用来将他们的预订系统与Expedia和Booking.com等在线预订网站整合在一起。
据发现桶的网站Planet的安全团队称,这起事件总共影响了价值24.4G的数据。研究人员表示,许多记录包含多名酒店客人的数据,这些客人被集中在一起预订一个房间;因此,暴露的人数很可能远远超过1000万人。
研究小组确定,其中一些记录可以追溯到2013年--但这个桶在本月被发现时,仍然是“活的”和正在使用的。
该公司在最近的一份关于这一问题的通知中表示:“该公司在没有任何保护措施的情况下,存储了酒店客人和旅行社多年的信用卡数据,使数百万人面临欺诈和网络攻击的风险。”仅从2020年8月开始,S3存储桶就包含了超过18万条记录。其中许多都与众多网站上的酒店预订有关,尽管这段时间全球酒店预订量处于历史最低水平。
Planet网站表示,这些记录包含大量信息,包括酒店客人的全名、电子邮件地址、国民身份证号码和电话号码;卡号、持卡人姓名、简历和有效期;以及预订细节,如酒店预订的总费用、预订号、住宿日期、客人提出的特殊要求、人数、客人姓名等。
这一曝光影响了许多平台,包括通过Amadeus、Booking.com、Expedia、Hotels.com、Hotelbees、Omnibees、Sabre等网站预订的数据。
根据Planet网站的说法,“所有与云酒店相关的网站和预订平台都可能受到影响。”“这些网站对由此暴露的任何数据不负责任。”
研究人员说,受影响的酒店客人可能成为广泛攻击的目标,从身份盗窃和网络钓鱼到有人劫持他们的度假。例如,他们指出,网络罪犯可以利用酒店住宿的细节来制造令人信服的骗局,并将目标对准曾住过昂贵酒店的富人。如果任何一家酒店披露了关于某人生活的令人尴尬或泄露的信息,这可能会被用来敲诈和勒索他们。
研究人员说:“我们不能保证在我们发现数据之前,没有人访问过S3存储桶并窃取了数据。”“到目前为止,还没有证据表明这种情况会发生。然而,如果是这样的话,将会对被曝光者的隐私、安全和财务健康产生巨大的影响。“。
其他攻击场景包括信用卡欺诈和更长时间的诈骗,攻击者可以利用这些细节建立信任,然后要求鼓励人们点击恶意链接、下载恶意软件或提供有价值的私人数据。
至于Prestige,它受一般数据保护条例和支付卡行业数据安全标准(PCIDSS)的约束。违反GDPR的行为可能会导致巨额罚款。研究人员指出,不遵守PCIDSS可能意味着Prestige接受和处理信用卡支付的能力将被剥夺。
研究人员说:“国际旅游和酒店业已经被冠状病毒危机摧毁,许多公司挣扎求生,数百万人失业。”“在这样一个微妙的时刻,暴露了如此多的数据,让这么多人处于危险之中,Prestige Software可能会因为这起泄密事件而面临公关灾难。”
研究人员直接联系了AWS,并在第二天确保了S3存储桶的安全。他们说,威望证实它拥有这些数据。Threatpost已经联系Prestige就这一事件发表评论。
这是一系列大型云错误配置中的最新一例。制药巨头新冠肺炎和有望获得疫苗的辉瑞公司在10月份被发现泄露了美国处方药使用者的私人医疗数据数月甚至数年,这要归功于一个不受保护的谷歌云存储桶。暴露的数据包括电话记录和与处方相关的个人身份信息(PII)。
同样是在10月份,服务于中小企业的知名VoIP提供商BroAdoice被发现泄露了超过3.5亿条客户记录,这些记录与该公司基于云的通信套件“b-hive”有关。
在今年秋天的其他事件中,估计有10万名Razer的客户通过错误配置的Elasticsearch服务器暴露了他们的私人信息。Razer是一家高端游戏设备供应商,从笔记本电脑到服装。此外,Mailfire拥有的一个配置错误的Elasticsearch服务器影响了70个约会和电子商务网站,被发现泄露了PII和浪漫偏好等细节。此外,英国国家医疗服务体系(National Health Service)威尔士分部宣布,新冠肺炎检测呈阳性的威尔士居民的PII通过公共云上传曝光。
9月份的一项分析发现,包含高度敏感信息的云数据库有太大比例是公开可用的。来自比较公司的这项研究显示,所有谷歌云存储桶中有6%配置错误,并向公共互联网开放,任何人都可以访问其内容。
11月18日下午2点,黑客将Bullseye放在Healthcare:上。美国东部夏令时(EDT)将找出2020年医院遭受勒索软件攻击的原因。请保留您的位置,参加这个关于医疗网络安全优先事项的免费网络研讨会,听取主要安全声音关于数据安全、勒索软件和补丁如何需要成为每个部门的优先事项,以及为什么。11月18日下午2点至3点,请加入我们的行列。美国东部夏令时(EDT)为这场现场直播的有限参与式网络研讨会。