ESET, compañía líder en detección proactiva de amenazas, alerta que por una indebida configuración de un servidor en la nube perteneciente a una popular plataforma de reservas, quedó expuesta de manera pública la información personal de millones de huéspedes, como nombres completos, números de identificación nacional y datos de tarjetas de crédito.
Los datos estaban almacenados en un bucket de Amazon Web Services (AWS) S3 perteneciente a una empresa con sede en España que vende software de gestión hotelera. La exposición de esta información, reportada por Website Planet, se originó en el software Channels Manager de la empresa, el cual es utilizado por los hoteles para automatizar el estado de sus vacantes en varios sitios web para la reserva de alojamiento. Dado que la plataforma se utiliza para conectarse con los sitios web de reservas, algunos de los datos provienen conocidas agencias de viajes online, como pueden ser Expedia, Booking.com y Agoda, entre otras tantas más, aunque es importante mencionar que no son las responsables de la exposición de los datos.
En total los datos comprendían más de 10 millones de archivos de registro, incluida información que se remonta al año 2013. Entre los datos había una gran cantidad de información de identificación personal (PII), como los nombres completos de los huéspedes, números de identificación nacional, direcciones de correo electrónico, números de teléfono, así como detalles como el número de reserva, fechas, número de invitados y sus nombres, y el precio pagado. Además, contenía datos financieros valiosos, como números de tarjetas de crédito, el nombre del titular de la tarjeta, códigos de verificación de la tarjeta de crédito (CVV) y fecha de vencimiento.
Si bien actualmente no hay evidencia de que ningún actor malintencionado haya obtenido acceso a los datos expuestos, aun no se puede garantizar que nadie haya accedido a los datos previo a ser descubierto el servidor mal configurado. Al identificar el inconveniente se notificó a Amazon Web Services y desde entonces los datos se aseguraron correctamente.
Las empresas que incumplan las leyes de protección de datos, en particular el Reglamento general de protección de datos (GDPR) de la Unión Europea, pueden enfrentar graves consecuencias por fallas en la privacidad y la seguridad.
“La cantidad y variedad de registros expuestos ofrece a los cibercriminales material que puede ser utilizado para realizar todo tipo de actividad maliciosa. Los huéspedes del hotel podrían ser víctimas de robo de identidad, ataques de phishing y de otros tipos de ataque de ingeniería social, e incluso de fraude financiero debido a la exposición de datos de tarjetas de crédito. Sin embargo, los cibercriminales no tienen porque abusar de los datos ellos mismos; ya que pueden vender esta información en la dark web. En cuanto a entornos corporativos es importante contar con un plan de seguridad robusto para evitar este tipo de inconvenientes, desde el lado de los usuarios que creen que pueden estar expuestos es importante cambiar sus contraseñas, activar el doble factor de autenticación en sus cuentas, chequear los movimientos bancarios de manera periódica, mantener los sistemas actualizados y contar con una solución de seguridad confiable instalada en todos sus dispositivos.“, comentó Camilo Gutiérrez Amaya, Jefe del Laboratorio de ESET Latinoamérica.
De manera de conocer más sobre seguridad informática ingrese al portal de noticias de ESET: https://www.welivesecurity.com/la-es/2020/11/11/datos-sensibles-millones-huespedes-hoteles-todo-mundo-expuestos/