Millones de datos personales expuestos incluyendo tarjetas bancarias completas. Booking.com, Hotels.com y Expedia entre otros.
La empresa de software Prestige Software, encargada de la gestión de la disponibilidad de habitaciones en los principales sitios de reserva de hoteles, ha sufrido una brecha de seguridad que ha expuesto información confidencial de sus clientes, entre ellos se encuentran Booking.com, Hotels.com, Hotelbeds, Omnibees, Sabre, Expedia, Agoda y Amadeus entre otras.
Investigadores de la empresa Website Planet encontraron una instancia de Amazon Web Services mal configurada con 24.4 GB de datos personales y financieros. La gravedad del asunto no solo reside en la filtración de la información sino en que esta se encontraba totalmente en plano, incluido datos de tarjetas de crédito de al menos 100.000 de 2013 en adelante.
Estos datos filtrados tendrían la siguiente información:
- Nombre completo.
- Datos de identificación
- Correo electrónico
- Número de teléfono
- Números de reservas de hotel
- Fecha de reserva
- Duración de la estancia
- Número de tarjeta
- Fecha de vencimiento
- Código CCV.
Aunque se desconoce si estos datos circulan por internet para su venta, no sería descabellado pensar en ello debido a la escasa complejidad que ha sido necesaria para acceder a ellos.
Al tratarse de una empresa española sujeta al reglamento europeo GDPR habrá que esperar a ver la sanción que les será impuesta. Otros casos como el de British Airways acabó con una sanción de 183 millones de libras.
Además la empresa ha inflingido la normativa impuesta por la norma PCI-DSS albergando el código CVV de las tarjetas de crédito, eso sin hablar de la carencia de elementos de seguridad. Esta norma es de obligado cumplimiento para todas las empresas que por su infraestructura transiten datos de tarjetas de crédito.
Desde Hispasec les recordamos la importancia de poseer planes de seguridad que permitan a las empresas prevenir este tipo de situaciones. Si quiere saber cómo desde Hispasec podemos ayudarle no dude en escribir a comercial@hispasec.com.
Más información:
https://www.websiteplanet.com/blog/prestige-soft-breach-report/
Powered by WPeMatico