Attenzione: esposti 24.4 GB di dati sensibili di chi prenota le vacanze online

Secondo quanto spiegato da una società di servizi internet, la falla di sicurezza che vedrebbe coinvolti i clienti di grandi operatori turistici online sarebbe risultata operativa dal 2013: ecco quali dati sarebbero risultati esposti, e con quali conseguenze.

Attenzione: esposti 24.4 GB di dati sensibili di chi prenota le vacanze online

Con l’attuale crisi da coronavirus, il settore del turismo ha subito un forte contraccolpo, con una pesante riduzione dei viaggi e, di conseguenza, la necessità, per gli operatori del settore, di ridurre le perdite, sovente a suon di licenziamenti. Come se ancora non bastasse, nelle scorse ore è emerso, grazie a una ricerca del provider di servizi internet Website Planet, come – nell’ambito di un problema di sicurezza informatica – siano risultati esposti pubblicamente i dati di più di 100mila utenti che, dal 2013, hanno prenotato le proprie vacanze su portali del calibro di Booking.com, Hotels.com, ed Expedia.

Secondo quanto rendicontato dal team di sicurezza di Website Planet, presso i cloud server di Amazon (Amazon Web Services), in un socket (cartella virtuale) non presidiato e quindi a libero accesso, erano stoccati 24.4 GB di dati sensibili, quali nomi, numeri di telefono, mail, info della carta di credito (nome del titolare, numero della stessa, scadenza e CVV), dettagli delle prenotazioni (numero e nomi degli ospiti, prezzo per notte, prezzo totale della prenotazione, data della stessa, particolari richieste aggiuntive, date del soggiorno), strutturati secondo 10 milioni di file di log.

Il database in questione, aggiornato con nuovi record anche poco prima della scoperta, comprensivo di 180mila record lo scorso Agosto, risulta appartenere alla spagnola Prestige Software, che si occupa di hotel management system per grossi operatori del settore turistico, tra cui – oltre a quelli già menzionati – Amadeus.com, Agoda, Omnibees, Hotelbeds.com, Sabre Corporation, etc, per conto dei quali gestisce le procedure per sincronizzare le disponibilità dei posti, in modo che, prenotata una camera ad esempio su Hotels.com, la stessa non risulti più disponibile su Expedia. 

Informata del problema, Amazon Web Services Inc ha prontamente sanato la falla, dopo un giorno dalla comunicazione ricevuta, sebbene non sia chiaro se vi sia stato accesso ai dati esposti, e l’entità precisa degli utenti coinvolti (stante la presenza anche di cancellazioni e modifiche, oltre che di prenotazioni familiari e di gruppo).

Il pericolo, nonostante il fix, è che i dati in oggetto, finiti in mano agli hacker, possano essere sfruttati per frodi finanziarie, per diffondere malware, per condurre attacchi di phishing, per furti d’identità e, ovviamente, per ricatti (es. analizzando le persone con cui si è prenotato, quando, e le cose richieste in sede di pernottamento). Per tale motivo, è consigliato controllare i movimenti sul proprio conto corrente e sulle carte associate, effettuare un accertamento sulle prenotazioni fatte (per riscontrare anche in questo caso eventuali dettagli a sé ignoti) e, se del caso, cambiare la password sui servizi di prenotazione online adoperati ultimamente. 

Dal canto suo, Prestige Software, titolare dei database esposto, rischia sanzioni alla luce del GDPR europeo per la tutela dei dati personali, ma anche l’inibizione a trattare i dati dei pagamenti digitali, non avendo rispettato i PCI DSS (Payment Card Industry Data Security Standard) fissati, per tutelare i propri clienti dalle frodi, dalle società di emissione delle carte di credito in merito alle aziende che archiviano, gestiscono, e trasmettono i relativi dati. 

Continua a leggere su Fidelity News