Cloud Hospitality : brèche sécuritaire exposant 24,4 Go de données-clients émanant de site de réservation en ligne !

L’équipe sécuritaire Website Planet met en garde, dans un communiqué du 6 Novembre 2020 : la société barcelonaise permettant d’émettre ou de choisir une réservation en ligne aurait essuyé une vulnérabilité critique. Selon le rapport sécuritaire, il serait question d’une ex-filtration de données estimées à 24,4 Go, du fait d’une mauvaise configuration d’un bucket AWS (Amazon Web Services) S3…

Il serait question de l’ensemble des données (au moins depuis 2013) dont voici la nature :

• Nom complet,
• Mail,
• Numéro d’identité national (ID),
• Numéro de téléphone de l’hôtel réservé,
• Informations bancaires (numéro CB, nom, CVV, date d’expiration),
• Informations de paiement : facture totale (montant),
• Informations de réservation (numéro, dates, prix par nuitée, commentaires, nombre de personnes “et bien plus”).

10 millions de comptes seraient ainsi concernés dont (en partie : liste non-complète qui intégrerait, en plus d’autres sites, des agences de voyage en ligne…) les acteurs suivants :

• Agoda,
• Amadeus,
• Booking,
• Expedia,
• Hotels.com,
• Hotelbeds,
• Omnibees,
• Sabre.

Les finalités sont, bien sûr, multiples : injection de code malveillant, phishing, fraude à la carte. Contacté par Website Planet, la faille aurait été rapidement jugulée mais aucune date précise – comme cela est toujours de coutume – sur le détail calendaires de la correction de cette faille hautement critique… A veiller !

Source : WebSitePlanet – 6 Novembre 2020 – Cloud Hospitality (groupe Prestige Software) : brèche sécuritaire impactant 10 M de comptes relatifs à des sites et agences de réservation en ligne.

Signaler une erreur

Raison: *
Erreur(s) dans l'informationFaute(s) d'orthographe(s)

Votre nom: *

Votre email: *

Détails: *

Envoyer votre message