Data breach, milioni di dati dal settore alberghiero

Un database mal protetto potrebbe aver lasciato libero accesso a milioni di dati di utenti che hanno prenotato in passato un hotel online.
Un database mal protetto potrebbe aver lasciato libero accesso a milioni di dati di utenti che hanno prenotato in passato un hotel online.

Agoda, Booking.com, Expedia, Amadeus, Hotels.com, Hotelbeds, Omnibees, Sabre: basta elencare questi nomi per capire la dimensione di un data breach che mette assieme buona parte dei clienti di tutti questi siti. Il tutto emerge nel momento più buio per il settore della ricettività in tutto il mondo, ma fotografa un problema che accomuna tutti questi servizi: una comune base software che potrebbe essersi rivelata vulnerabile.

La gravità del data breach

Il problema sarebbe insito in server AWS gestiti senza le necessarie precauzioni dalla spagnola Prestige Software, utilizzata dalle maggiori piattaforme di prenotazione sul mercato. L’analisi (vedi il report completo) avrebbe fatto emergere la possibilità di accedere ad un database mal protetto, al cui interno vi sarebbero conservati 24.4 GB di dati relativi a milioni di utenti.

Il problema sarebbe insito in particolare nel “Cloud Hospitality“, sistema di interscambio per la gestione delle disponibilità su cui operano in seguito le piattaforme di prenotazione. La fuga di dati sarebbe particolarmente grave per due motivi. Il primo è l’anzianità del database, che parte addirittura dal 2013. Il secondo è la completezza dei dati ivi conservati, poiché relativi a informazioni personali e finanziarie (complete) di ognuno degli utenti.

Gli approfondimenti del caso potranno spiegare quale possa essere l’impatto del data breach e con tutta evidenza il problema avrà anche risvolti legali relativi alle responsabilità specifiche sull’accaduto. Va segnalato come il problema sia stato risolto direttamente dai tecnici AWS (non direttamente responsabili dell’accaduto) a seguito della segnalazione dei ricercatori che hanno scoperto il database vulnerabile, ponendo quantomeno fine immediata al problema in attesa di approfondimenti su eventuali accessi ai dati in passato.

Link copiato negli appunti

Ti potrebbe interessare

08 11 2020
Link copiato negli appunti