Milioni di dati di clienti sono stati esposti completamente in chiaro sulla rete, comprensivi di nome, indirizzo, numero di carta di credito ed ogni altro tipo di informazione personale
Prestige Software, la società spagnola autrice delle piattaforme di prenotazione alberghiera di realtà come Expedia, Hotels e Booking, ha esposto i dati di milioni di utenti su uno spazio cloud storage di Amazon Web Services. A scoprirlo e a lanciare l’allarme gli specialisti in cybersicurezza di Website Planet. Una violazioni di dati personali in cui sono stati scoperti nomi completi, indirizzi mail, numeri di telefono, dettagli della carta di credito (comprese scadenze e CVV), dettagli di pagamento e prenotazione. In sostanza Prestige Software conservava anni di dati delle carte di credito degli ospiti dell’hotel e degli agenti di viaggio senza alcuna protezione, mettendo milioni di persone a rischio di frodi e attacchi online.
Il problema della violazione di dati personali
Fra le applicazioni che offre Prestige Software c’è un channel manager, chiamato Cloud Hospitality, che si occupa di fare da ponte tra gli alberghi o agenzie di viaggio e i siti di prenotazione. In pratica gestisce in tempo reale il flusso di dati in relazione agli acquisti e le disponibilità. Il problema è che l’archiviazione a partire dal 2013 (si parla di 24,4 Gigabyte, per un totale di oltre 10.000.000 di file) è avvenuta su una spazio cloud mal configurato di Amazon Web Services (AWS) e inoltre i dati delle carte di credito non sarebbero stati adeguatamente protetti con lo standard di riferimento (PCI DSS).
Evidente quanto ‘esposizione di questo genere di dati potrebbe portare a svariati incidenti di sicurezza come frodi con carte di credito, furti di identità e attacchi phishing. Attualmente non è ancora chiaro quale sia il numero di persone potenzialmente interessate dal problema.
Fra le più note piattaforme coinvolte ci sono: Agoda, Amadeus, Booking.com, Expedia, Hotels.com, Hotelbeds, Omnibees e Sabre. Website Planet ha divulgato la notizia venerdì scorso ma in precedenza ha avvertito Amazon, consentendo un pronto intervento per il ripristino della sicurezza. Nel frattempo Prestige Software ha ammesso il problema.
Francesco Marino
Giornalista esperto di tecnologia, da oltre 20 anni si occupa di innovazione, mondo digitale, hardware, software e social. È stato direttore editoriale della rivista scientifica Newton e ha lavorato per 11 anni al Gruppo Sole 24 Ore. È il fondatore e direttore responsabile di Digitalic
