Creditcarddata beveiliging datalek Booking.com

Creditcarddata, namen, paspoortnummers, e-mailadressen, het gehele plaatje tot terug in 2013 van o.a. Booking.com zat in een vrije database.


Hoe heeft technologie een impact op je business?
Ontvang elke week het zakelijk IT-nieuws rechtstreeks in je inbox!



Uit onderzoek van een team van Website Planet bleek dat een in een verkeerd geconfigureerde AWS S3-bucket miljoenen records terug te vinden zijn. Het gaat om hotelboekingen met details over bijvoorbeeld de kredietkaarten van klanten. De data was vrij toegankelijk en valt onder het beheer van de Spaanse firma Prestige Software. Die laatste is een partner van heel wat grote boekingbedrijven als Booking.com of Expedia.

Booking.com

In totaal zou het gaan om 24,4B aan records met een verzameling aan hotelboekingen over heel de wereld. Zelfs toen het onderzoeksteam inzicht had in de data kwamen er gewoon realtime nog records bij. De AWS S3-bucket was dus nog in gebruik. De onderzoekers konden data terughalen tot en met 2013. Maar er zat natuurlijk ook recentere data in.

Het gevaar hier is dat het om zeer gevoelige data ging die onbeschermd op internet stond. Kredietkaarten, naam, adres, paspoortnummers en e-mailadressen. Het was allemaal vrij beschikbaar. De onderzoekers publiceerden hun rapport al op 6 november, maar het het gevoelige nieuws lijkt nu pas te zijn opgepikt. Website Planet heeft in zijn rapport de ernst van dit datalek ook op het hoogste niveau gezet.

Amazon Web Services

De fout zat ‘m in een S3-bucket van AWS die verkeerd configureerd was. Daardoor was de data gewoon vrij toegankelijk op internet. Momenteel is het niet geweten of de fout al langer aan de gang was en hoe lang de data al vrij raadpleegbaar was. Momenteel zou alles al zijn vergrendeld en het Spaanse Prestige Software zou ook hebben bevestigd eigenaar te zijn van die data. Het bedrijf is ook verplicht om aangifte toen conform de geldende GDPR-wetgeving maar heeft daar nog geen woord over laten vallen.

Ook Booking.com of Expedia en andere grote spelers hebben nog geen statement rond dit gevoelige datalek naar butien gebracht. Het volledige rapport kan je hier nalezen.

Deze afbeelding heeft een leeg alt-attribuut; de bestandsnaam is booking-data.png

LAAT EEN REACTIE ACHTER

Please enter your comment!
Please enter your name here