בגלל תקלה: נחשפו מיליוני פרטים של מזמיני חדרים בבתי מלון

תצורה שגויה ב-AWS אפשרה חשיפת מיליוני פריטי מידע על מזמיני חדרים באתרים גדולים כגון Hotels.com ,Booking.com ואקספידיה ● החברה הספרדית שאחראית לתקלה עלולה לספוג קנס כבד, אם יתברר שהפרה את חוקי הגנת הפרטיות האירופיים

דלף מידע במתקפת סייבר. לחשוף באופן יזום מפחית עלות הפגיעה. אילוסטרציה: BigStock

מיליוני פריטי מידע של מזמיני חדרים בבתי מלון באמצעות פלטפורמה פופולרית נשארו חשופים לעין כל. הפלטפורמה היא Cloud Hospitality של פרסטיז' סופטוור, שמוטמעת בכמה מהאתרים הגדולים בתחום – Hotels.com ,Booking.com ואקספידיה. הסיבה לתקלה היא תצורה שגויה שהוגדרה ב-AWS.

מדובר במידע רגיש, שנאגר לפחות מאז 2013, וחשיפתו פורסמה בימים אלה. הפלטפורמה של החברה הספרדית מאפשרת לבתי מלון להכניס דרכה מידע על זמינות החדרים בה לאתרי הזמנות ברשת. היא אגרה במשך שנים פרטי מלונות, נתונים של סוכני נסיעות ואורחים – ועשתה זאת בלי כל הגנה על הנתונים.

כתוצאה מכך, תוכנת החברה חשפה יותר מ-10 מיליון קבצי לוג. כל אחת מהרשומות הללו חשפה מידע רגיש ומזהה אישית (PII), כולל שמות, כתובות מייל, מספרי תעודת זהות, מספרי טלפון, פרטי הזמנות ופרטי כרטיסי אשראי – כולל שלוש הספרות בגב הכרטיס ומועד התפוגה שלו.

הנתונים של כמה אנשים נחשפו? לא ברור

אתר פלאנט דיווח כי S3, מערך האחסון של AWS, כלל יותר מ-180 אלף רשומות שהגיעו מהמערכת מאוגוסט השנה בלבד, וזאת על אף שמצב התיירות העולמית מצוי מזה יותר מחצי שנה בשפל של כל הזמנים, בגלל משבר הקורונה. עם זאת, קשה לומר כמה אנשים הושפעו מכך, בגלל הכמות הגדולה של הנתונים שנחשפו. יצוין כי מספר האנשים שפרטיהם נחשפו בפועל עלול להיות גבוה בהרבה ממספר ההזמנות שנרשמו, מכיוון שבאופן טבעי כשמדובר בבתי מלון, רבים מהרישומים הכילו, בהזמנה אחת, את הפרטים של יותר מאיש אחד.

אף שהיקף שליפת הנתונים נותר לא ידוע, מומחי אבטחה ציינו כי הדבר עלול להוביל לסיכונים נפוצים למדי שנגרמים בשל חשיפות של נתוני מלונות, כגון הונאת כרטיסי אשראי, גניבת זהות והונאות פישינג. סיכון נוסף הוא בשל היכולת להשתמש בנתונים כדי לגנוב את ההזמנה של מישהו אחר.

פרסטיז' סופטוור אישרה שהיא הבעלים של הנתונים והגורם האחראי לדליפה. מאחר שזו חברה ספרדית, היא עלולה להתמודד מול פעולות שיינקטו נגדה בשל הפרת חוקי הפרטיות של האיחוד האירופי, ה-GDPR. אם יתברר שהיא לא צייתה לכללים המחמירים שנקבעו בחקיקה, שכוללים דרישה לדווח על האירוע בתוך 72 שעות, פרסטיז' עלולה להיקנס בסכום של 20 מיליון יורו, או בהיקף של 4% מהמחזור השנתי שלה. ללא קשר, לפני ימים אחדים, נציבות האיחוד האירופי השיתה קנס של יותר מ-20 מיליון יורו על רשת מריוט בגין דליפת נתונים שהשפיעה על 339 מיליון רשומות של אורחים בבתי המלון שלה ברחבי העולם.

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים