Datos personales de millones de huéspedes en el mundo quedan expuestos en la web

La indebida configuración de un servidor en la nube perteneciente a una popular plataforma de reservas expuso de manera pública información personal de millones de huéspedes de hoteles de distintas partes del mundo, como nombres completos, números de identificación nacional y datos de tarjetas de crédito.

Los datos estaban almacenados en un bucket de Amazon Web Services (AWS) S3 perteneciente a Prestige Software, una empresa con sede en España que vende software de gestión hotelera, según informó ESET, compañía líder en detección proactiva de amenazas.

La exposición de esta información, reportada por Website Planet, se originó en el software Channels Manager de la empresa española, el cual es utilizado por los hoteles para automatizar el estado de sus vacantes en varios sitios web para la reserva de alojamiento.

Dado que la plataforma se utiliza para conectarse con los sitios web de reservas, algunos de los datos provienen conocidas agencias de viajes online, como pueden ser Expedia, Booking y Agoda, entre otras tantas más, aunque es importante mencionar que no son culpables por la exposición de los datos.

En total los datos comprendían más de 10 millones de archivos de registro, incluida información que se remonta al año 2013. Entre los datos había una gran cantidad de información de identificación personal (PII), como los nombres completos de los huéspedes, números de identificación nacional, direcciones de correo electrónico, números de teléfono, así como detalles como el número de reserva, fechas, número de invitados y sus nombres, y el precio pagado.

Además, contenía datos financieros valiosos, como números de tarjetas de crédito, el nombre del titular de la tarjeta, códigos de verificación de la tarjeta de crédito (CVV) y fecha de vencimiento.

Website Planet también confirmó la veracidad de los datos al verificar que una muestra de las direcciones de correo electrónico filtradas pertenecía a personas reales.

Si bien actualmente no hay evidencia de que ningún actor malintencionado haya obtenido acceso a los datos expuestos, aun no se puede garantizar que nadie haya accedido a los datos previo a ser descubierto el servidor mal configurado. Al identificar el inconveniente se notificó a Amazon Web Services y desde entonces los datos se aseguraron correctamente.

Las empresas que incumplan las leyes de protección de datos, en particular el Reglamento general de protección de datos (GDPR) de la Unión Europea, pueden enfrentar graves consecuencias por fallas en la privacidad y la seguridad.

“La cantidad y variedad de registros expuestos ofrece a los cibercriminales material que puede ser utilizado para realizar todo tipo de actividad maliciosa. Los huéspedes del hotel podrían ser víctimas de robo de identidad, ataques de phishing y de otros tipos de ataque de ingeniería social, e incluso de fraude financiero debido a la exposición de datos de tarjetas de crédito. Sin embargo, los cibercriminales no tienen por qué abusar de los datos ellos mismos; ya que pueden vender esta información en la dark web”, comentó Camilo Gutiérrez Amaya, jefe del Laboratorio de ESET Latinoamérica.

“En cuanto a entornos corporativos es importante contar con un plan de seguridad robusto para evitar este tipo de inconvenientes, desde el lado de los usuarios que creen que pueden estar expuestos es importante cambiar sus contraseñas, activar el doble factor de autenticación en sus cuentas, chequear los movimientos bancarios de manera periódica, mantener los sistemas actualizados y contar con una solución de seguridad confiable instalada en todos sus dispositivos”, agregó el especialista.


Read Previous

¿Qué es un manual de marca y cómo diseñarlo de forma creativa?

Read Next

United facilita la obtención del estatus MileagePlus Premier para el 2022