Clamoroso, i dati delle carte di credito di milioni di clienti liberamente accessibili
La piattaforma Cloud Hospitality che fa da “intermediario” fra i software degli alberghi e i maggiori siti di prenotazione online come Booking ed Expedia avrebbe lasciato liberamente accessibile oltre 24 GB di dati personali. Coinvolti milioni di clienti, esposti tutti i dati sensibili, compresi numero di carta di credito e codice CVV.
Milioni di dati di clienti esposti completamente in chiaro sulla rete, comprensivi di nome, indirizzo, numero di carta di credito ed ogni altro tipo di informazione personale. È questa la pericolosissima falla di sicurezza relativa ad uno dei programmi per la gestione delle prenotazioni, utilizzato sin dal 2013 da alcune delle più rinomate catene di alberghi mondiale. La clamorosa scoperta è stata effettuata dal team di sicurezza della piattaforma di web hosting Website Planet.
Il programma in questione si chiama Cloud Hospitality, ed è stato creato dalla compagnia spagnola Prestige Software. Il suo scopo è quello di mettere in comunicazione le piattaforme di gestione degli alberghi con i più popolari siti di prenotazione online. Per capirci, Cloud Hospitality è la piattaforma tramite cui passano i dati quando prenotiamo una camera con Booking o siti simili.
A rendere particolarmente grave questa falla di sicurezza è, appunto, l’importanza delle piattaforme coinvolte. Oltre a Booking, infatti, Cloud Hospitality gestisce alcune dei più importanti siti di prenotazione online come Expedia, Hotels.com, Agoda e tanti altri ancora.
A creare la falla di sicurezza, un server di archiviazione configurato male
Nello specifico, il programma ha archiviato i dati dei frequentatori degli hotel su un server Amazon Web Services non configurato correttamente esponendo, come detto, i dati di un enorme numero di clienti.
Si parla in particolare del nome completo di tutti gli ospiti, dei loro metodi di pagamento compresi numero di carta di credito, codice CVV e data di scadenza della stessa, l’indirizzo mail e il numero di cellulare utilizzati per la prenotazione e il costo di ogni singola notte, comprensivo di eventuali richieste extra.
Secondo l’indagine di Website Planet, poi, Cloud Hospitality starebbe ancora usando quel server configurato male archiviando ancora adesso dati relativi a prenotazioni e metodi di pagamento. L’ultimo aggiornamento, relativo ai mesi di agosto e settembre, avrebbe aggiunto al database oltre 180.000 nuove voci.
Al momento non c’è nessuna conferma che i dati siano stati effettivamente scaricati da qualche malintenzionato, ma per le enormi implicazioni in tema di privacy e il numero così elevato di clienti coinvolti, questo incidente di sicurezza potrebbe trasformarsi in uno dei più grandi data breach della storia.
Commenti
Posta un commento