Numerosas empresas dedicadas al mercado hotelero y de viajes han sido afectados por una exposición de datos bastante grave sucedida en España. La firma de software ubicada en Barcelona, Prestige Software, ha sido pillada exponiendo datos de millones de clientes de todo el mundo.
Tanto datos personales como financieros han sido expuestos. En particular, clientes de los portales Booking.com, Hotels.com, Hotelbeds, Omnibees, Sabre, Expedia, Agoda, Amadeus y más se encuentran entre las víctimas de la brecha de seguridad, lo que equivale a millones de potenciales usuarios afectados.
La base de datos expuesta ha sido identificada inicialmente por investigadores de la página Website Planet que notaron un bucket de los Amazon Web Services o AWS S3 mal configurado, propiedad de la empresa de seguridad ya mencionada.
Datos personales filtrados
Oficina de Booking.com
Los investigadores analizaron el bucket y concluyeron que este contenía unos 24.4 GB de datos financieros y personales, traducidos en un total de más de 10 millones de archivos. Pero ¿cómo se ha producido esta filtración tan masiva?
Prestige Software es una firma que proporciona una plataforma de gestión de canales llamada Cloud Hospitality para hoteles, que gestiona y automatiza la disponibilidad de habitaciones en los principales sitios de reserva de dichas empresas. En este caso específico, Prestige almacenaba datos de tarjetas de crédito de agentes de viaje y clientes de hoteles sin ninguna medida de seguridad.
Como resultado de este hecho, los datos personales y financieros de millones de clientes han sido expuestos. Datos que además datan del año 2013, por lo que hablamos de una filtración que contiene datos muy íntimos de usuarios, incluso de clientes antiguos de estas empresas.
Los datos filtrados conforman nombres completos, datos de identificación, correos electrónicos, números de teléfono, datos financieros e incluso los números de reservas de hotel. También se incluyen las fechas y duraciones de las estancias e incluso los números de las tarjetas de crédito. Por si fuera poco, estos datos van acompañados del nombre, la fecha de vencimiento de la tarjeta y el código CCV.
No está claro
Ordenador.
No se sabe si alguien ha accedido a estos datos. Numerosos hackers han estado revisando las redes en busca de esta clase de datos, para robarlos y venderlos en los mercados de la Deep Web y la Dark Web. Estos datos se filtran en foros de hackers para su descarga gratuita. Además, con estos datos se pueden realizar todo tipo de delitos cibernéticos, desde suplantaciones de identidad hasta campañas de phishing.
Un ejemplo lo tiene esta base de datos expuesta que detectó Hackread.com, descubriendo que se expuso la información de más de 267 millones de usuarios de Facebook. Un año después, en abril del 2020, esta misma base de datos se vendía en foros de hackers por 600 dólares.
Dado que Prestige Software tiene su sede en Europa y estos datos pertenecen a usuarios de todo el globo (incluyendo ciudadanos europeos), es esperable que la firma acabe sufriendo una fuerte demanda por incumplir la GDPR o Reglamento General de Protección de Datos.