L’équipe sécuritaire Website Planet met en garde, dans un communiqué du 6 Novembre 2020 : la société barcelonaise permettant d’émettre ou de choisir une réservation en ligne aurait essuyé une vulnérabilité critique. Selon le rapport sécuritaire, il serait question d’une ex-filtration de données estimées à 24,4 Go, du fait d’une mauvaise configuration d’un bucket AWS (Amazon Web Services) S3…
Il serait question de l’ensemble des données (au moins depuis 2013) dont voici la nature :
- Nom complet,
- Mail,
- Numéro d’identité national (ID),
- Numéro de téléphone de l’hôtel réservé,
- Informations bancaires (numéro CB, nom, CVV, date d’expiration),
- Informations de paiement : facture totale (montant),
- Informations de réservation (numéro, dates, prix par nuitée, commentaires, nombre de personnes “et bien plus”).
10 millions de comptes seraient ainsi concernés dont (en partie : liste non-complète qui intégrerait, en plus d’autres sites, des agences de voyage en ligne…) les acteurs suivants :
- Agoda,
- Amadeus,
- Booking,
- Expedia,
- Hotels.com,
- Hotelbeds,
- Omnibees,
- Sabre.
Les finalités sont, bien sûr, multiples : injection de code malveillant, phishing, fraude à la carte. Contacté par Website Planet, la faille aurait été rapidement jugulée mais aucune date précise – comme cela est toujours de coutume – sur le détail calendaires de la correction de cette faille hautement critique… A veiller !
Source : WebSitePlanet – 6 Novembre 2020 – Cloud Hospitality (groupe Prestige Software) : brèche sécuritaire impactant 10 M de comptes relatifs à des sites et agences de réservation en ligne.