Une plate-forme de réservation d'hôtels perd 7 ans de dossiers clients et expose des millions de données sensibles

Prestige Software, qui fournit des services à des milliers de sites de réservation, aurait exposé les données privées et les détails de carte de crédit de millions de personnes dans le monde, sur plusieurs années.

Prestige Software facilite les services de réservation via sa plate-forme Cloud Hospitality pour Booking.com, Expedia, Hotels.com et bien d’autres. L’équipe de sécurité de Website Planet a récemment révélé que la plate-forme de réservation d’hôtel exposait les données des clients depuis près de sept ans via un compartiment S3 Amazon Web Services (AWS) mal configuré.

D’après les conclusions de l’équipe, les données exposées comprennent :

Données personnelles : noms complets, adresses e-mail, numéros de carte d’identité et numéros de téléphone des clients de l’hôtel
Détails de la carte de crédit : numéro de carte, nom du titulaire, CVV et date d’expiration
Détails du paiement : coût total des réservations d’hôtel
Détails de la réservation : numéro de réservation, dates de séjour, prix payé par nuit, éventuelles demandes supplémentaires faites par les clients, nombre de personnes, noms des clients et bien plus encore.

L’équipe a trouvé plus de 10 millions de fichiers journaux individuels datant jusqu’à 2013, avec plus de 180 000 enregistrements rien que pour le seul mois d’août 2020.

Le compartiment (bucket) S3 exposé était toujours actif et utilisé au moment de la découverte, de nouveaux enregistrements étant téléchargés quelques heures après notre enquête, a déclaré l’équipe.

La fuite a potentiellement exposé des millions de personnes à la fraude, à l’extorsion et même au chantage. L’équipe ne peut pas garantir que quelqu’un d’autre n’ait accédé au compartiment S3 avant eux.

«Jusqu’à présent, il n’y a aucune preuve que cela se soit produit. Cependant, si c’était le cas, il y aurait d’énormes implications pour la vie privée, la sécurité et le bien-être financier des personnes exposées », ont déclaré les chercheurs.

Ce trésor de données financières personnelles constitue le «fullz» parfait pour aller chercher des dollars sur le dark web. Fullz, terme argotique utilisé par les pirates et les revendeurs de données, signifie un paquet complet d’informations d’identification d’un individu. Un fullz contient généralement le nom d’une personne, son numéro de sécurité sociale, sa date de naissance, ses numéros de compte bancaires et d’autres données. Les fullz sont vendus à des voleurs d’identité, qui les utilisent dans des stratagèmes de fraude au crédit.

Prestige Software est confronté à de nombreux obstacles juridiques dans des domaines tels que la norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) et le règlement général sur la protection des données (RGPD) de l’Union Européenne.

Les responsables de la sécurité de Website Planet répertorient près d’une douzaine de sites de réservation concernés, ce qui signifie que les personnes de toutes les zones géographiques sont affectées – encore une fois, si la fuite se produit sur le Dark Web. Si cela s’avère être le cas, des hackers malveillants pourraient utiliser les informations pour mettre sur pied des campagnes de phishing (hameçonnage) convaincantes, des escroqueries frauduleuses et même extorquer certains clients, «si un séjour à l’hôtel révèle des informations embarrassantes ou compromettantes sur la vie d’une personne», selon la déclaration des chercheurs.

Si vous savez avoir fait des réservations sur Agoda, Amadeus, Booking.com, Expedia, Hotels.com, Hotelbeds, Omnibees ou Sabre au cours des sept dernières années, surveillez de près vos relevés bancaires.

Soyez également à l’affût des e-mails ou SMS suspects qui arrivent dans votre boîte de réception. Ne répondez pas aux messages demandant votre nom d’utilisateur, votre mot de passe ou vos données bancaires. Si vous avez des raisons de croire que vous êtes une victime, contactez Prestige Software pour savoir comment ils comptent réagir à cet incident.

Prestige Software a confirmé à Website Planet qu’il possédait les données exposées, mais n’a pas encore reconnu publiquement la fuite.