Una empresa española ha expuesto 24GB de datos personales de millones de clientes de Booking, Expedia y otros portales de reservas

Una empresa española ha expuesto 24GB de datos personales de millones de clientes de Booking, Expedia y otros portales de reservas
5 comentarios Facebook Twitter Flipboard E-mail

Prestige Software, una compañía española (con sedes en Madrid y Barcelona) que ofrece una plataforma para hoteles, llamada Cloud Hospitality, que automatiza la disponibilidad de sus reservas en portales como Booking.com, Expedia, Amadeus u Hotels.com, acaba de verse señalada como culpable de una grave brecha de datos que afecta a clientes de todo el mundo.

Investigadores de WebSite Planet detectaron la existencia de un bucket de AWS que, a causa de una mala configuración, permitía el acceso público a los 34,6 GB de datos que contenía sin exigir ninguna autenticación de seguridad.

Prestige Software Captura de la web de la compañía española implicada.

Y entre esos datos se encontraban más de 10 millones de registros de reservas hoteleras creados durante los últimos 7 años.

Millones de potenciales víctimas de la brecha de datos

Dichos registros contenían a su vez datos tanto personales como financieros: nombres completos, direcciones de correo electrónico, DNIs, números de teléfono y, en muchos casos, también los datos de tarjetas de crédito.

En palabras de Mark Holden, investigador de Website Planet:

"Millones de personas han quedado potencialmente expuestas por esta brecha de datos, en todo el mundo. No podemos garantizar que alguien no haya accedido al bucket de AWS S3 y robado los datos antes de encontrarlo nosotros".

"[Es cierto que] hasta ahora, no hay evidencia de que esto haya sucedido. Pero, si llegarla a haberlas, habría enormes implicaciones para la privacidad, la seguridad y el bienestar financiero de las personas cuyas datos quedaron expuestos".

Efectivamente, estas personas quedarían expuestas a cambios maliciosos de sus reservas, a ataques de phising y a fraudes de identidad.

De igual modo, Prestige Software (que, según Website Planet, reconoció ser la propietaria del bucket y solventó la mala configuración al día siguiente de recibir el aviso) queda ahora expuesto a demandas por parte tanto de los afectados como de las instituciones europeas, y a fortísimas multas por incumplimiento de la GDPR.

Vía | InfoSecurity Magazine

Imagen | William Warby & Chameleon Design

Comentarios cerrados
Inicio