Plataforma de reserva de hoteles expuso datos de millones de personas

Tecnología LR

larepublica_pe

13 Nov 2020 | 19:27 h
La información incluía detalles de tarjetas de créditos y nombres completos de húespedes. Foto: Kadmy
La información incluía detalles de tarjetas de créditos y nombres completos de húespedes. Foto: Kadmy

Una mala configuración del servidor dejó sin protección los registros confidenciales de una gran cantidad de usuarios a nivel mundial.

El equipo de seguridad de Website Planet reveló que una plataforma de reserva de hoteles dejó expuestos al alcance de cualquier persona “datos altamente confidenciales” de millones de huéspedes de hoteles a nivel mundial desde 2013.

Hotel booking platform exposes millions of people in massive, global data leak. Credit card details, private data, and more exposed to hackers and cybercriminals. Find out who was affected and how to stay safe. https://t.co/HwynGn4Fv4

— Website Planet (@website_planet) November 6, 2020

Se trata de Prestige Software, una empresa con sede en Madrid y Barcelona que vende un sistema integrado de gestión hotelera llamado Cloud Hospitality, el cual se utiliza para actualizar el estado de las vacantes en hoteles dentro de sitios web de reserva de alojamiento, como Booking.com y Expedia.

Los datos de la compañía estaban alojados en un bucket de Amazon Web Services S3, un servicio de almacenamiento de datos en la nube. No obstante, el servidor estaba mal configurado y, como consecuencia, expuso en internet más de 10 millones de archivos de registro individuales.

Estos contenían datos sensibles de identificación personal pertenecientes a usuarios que realizaron reservas en hoteles. La información incluía nombres completos, dirección de correo electrónico, número de DNI y detalles de tarjetas de crédito (titular, CVV y fecha de vencimiento).

Asimismo, se pudo acceder a datos sobre el hospedaje, como el número de reserva, fechas de la estadía, cantidad de invitados y sus nombres, solicitudes adicionales hechas por los huéspedes, el precio por noche y el costo total pagado.

Los investigadores señalaron que, si bien aún no se ha encontrado evidencia de que los datos hayan sido robados por piratas informáticos, esta situación implica potenciales riesgos para “la privacidad, la seguridad y el bienestar financiero” de los involucrados.

Por ejemplo, los ciberdelincuentes podrían utilizar esta información sensible para ejecutar diversas actividades maliciosas, como fraudes con tarjetas de crédito, robo de identidad, campañas de phishing, ataques de malware, chantajes y extorsión.