Spanische Hotelreservierungsplattform hat sensible private Hotelgäste-Daten von Millionen Kunden offengelegt

587

Prestige Software mit Sitz in Madrid und Barcelona verkauft eine Channel-Management-Plattform namens Cloud Hospitality an Hotels, die deren Verfügbarkeit auf Online-Buchungswebsites wie Expedia und Booking.com automatisiert.

Das Unternehmen speicherte jahrelange Kreditkartendaten von Hotelgästen und Reisebüros ohne jeglichen Schutz, wodurch Millionen von Menschen dem Risiko von Betrug und Online-Angriffen ausgesetzt waren.

Prestige Software speicherte Cloud Hospitality-Daten in einem falsch konfigurierten S3-Bucket von Amazon Web Services (AWS), einer beliebten Form der Cloud-basierten Datenspeicherung.

Infolgedessen wurde eine enorme Datenmenge offengelegt: Insgesamt über 10 Millionen einzelne Protokolldateien aus dem Jahr 2013. Der S3-Bucket war noch aktiv und in Betrieb, und innerhalb weniger Stunden nach unserer Untersuchung wurden neue Datensätze hochgeladen.

Der S3-Bucket enthielt allein ab August 2020 über 180.000 Datensätze. Viele von ihnen bezogen sich auf Hotelreservierungen auf zahlreichen Websites, obwohl die weltweiten Hotelbuchungen für diesen Zeitraum auf einem Allzeittief waren.

Jede dieser Aufzeichnungen enthüllte sensible und wertvolle personenbezogene Daten (PII) der Personen, die die Reservierungen vorgenommen haben.

Es ist jedoch schwierig zu sagen, wie viele Personen aufgrund der Menge der offengelegten Daten betroffen waren. Darüber hinaus enthielten viele der Datenprotokolle PII-Daten für zahlreiche Personen in einer Reservierung (z. B. Familien). Schließlich enthielten einige der Datenprotokolle Änderungen und Löschungen.

Aus diesen Gründen kann die tatsächliche Anzahl der exponierten Personen viel höher sein als die Anzahl der protokollierten Reservierungen.

Kundendaten offengelegt

  • PII-Daten: Vollständige Namen, E-Mail-Adressen, nationale ID-Nummern und Telefonnummern von Hotelgästen
  • Kreditkartendaten: Kartennummer, Name des Karteninhabers, CVV und Ablaufdatum
  • Zahlungsdetails: Gesamtkosten für Hotelreservierungen
  • Reservierungsdetails: Reservierungsnummer, Aufenthaltsdaten, der pro Nacht gezahlte Preis, zusätzliche Anfragen von Gästen, Anzahl der Personen, Namen der Gäste und vieles mehr.

Betroffene Websites

Aufgrund des in der Datenbank gespeicherten Datenvolumens ist der Channel Manager von Prestige Software, Cloud Hospitality, eine beliebte Lösung. Es wurde nicht nur während der Coronavirus-Krise aktiv genutzt, sondern ist auch mit vielen der größten Hotelbuchungswebsites der Welt verbunden.

Prestige Software listet seine Kunden nicht auf seiner Website auf. Der S3-Bucket enthielt jedoch Daten, die anscheinend aus vielen bekannten Quellen stammen, die als Kunden von Cloud Hospitality aufgeführt sind, einschließlich, aber nicht beschränkt auf:

  • Agoda
  • Amadeus
  • Booking.com
  • Expedia
  • Hotels.com
  • Hotelbetten
  • Omnibees
  • Säbel
  • und viele andere

Schutz Ihrer Daten

Wenn Sie Kunde einer der in diesem Bericht aufgeführten Websites sind und Bedenken haben, wie sich dieses Leck auf Sie auswirken könnte, wenden Sie sich direkt an das Unternehmen, um festzustellen, welche Schritte zum Schutz Ihrer Daten unternommen werden.


Sie möchten immer die neuesten Nachrichten aus Spanien?
Abonnieren Sie doch unseren Newsletter!