I dati di milioni di persone che negli ultimi sette anni hanno usato Expedia, Booking e altre piattaforme per prenotare un albergo sono rimasti liberamente accessibili online. Si parla di 24,4 Gigabyte, per un totale di oltre 10.000.000 di file, che la specialista nel settore alberghiero Prestige Software non avrebbe protetto adeguatamente su cloud.

Un problema di channel manager

Prestige Software è una software house spagnola molto conosciuta nel settore dell’ospitalità. Fra le applicazioni che offre c’è un channel manager, chiamato Cloud Hospitality, che si occupa di fare da ponte tra gli alberghi o agenzie di viaggio e i siti di prenotazione. In pratica gestisce in tempo reale il flusso di dati in relazione agli acquisti e le disponibilità. Il problema è che l’archiviazione a partire dal 2013 è avvenuta su una spazio cloud mal configurato di Amazon Web Services (AWS) e inoltre i dati delle carte di credito non sarebbero stati adeguatamente protetti con lo standard di riferimento (PCI DSS). Gli specialisti in cybersicurezza di Website Planet hanno scoperto nomi completi, indirizzi mail, numeri di telefono, dettagli della carta di credito (comprese scadenze e CVV), dettagli di pagamento e prenotazione, etc. Insomma «l’azienda conservava anni di dati delle carte di credito degli ospiti dell’hotel e degli agenti di viaggio senza alcuna protezione, mettendo milioni di persone a rischio di frodi e attacchi online». Fra le più note piattaforme coinvolte ci sono: Agoda, Amadeus, Booking.com, Expedia, Hotels.com, Hotelbeds, Omnibees e Sabre. Website Planet ha divulgato la notizia venerdì scorso ma in precedenza ha avvertito Amazon, consentendo un pronto intervento per il ripristino della sicurezza. Nel frattempo Prestige Software ha ammesso il problema.

Una voragine ancora aperta ad agosto

Website Planet ha rilevato che l’archivio cloud era ancora attivo e in uso fino a poco tempo fa. Ad esempio solo in agosto si contavano oltre 180.000 registrazioni, sebbene le prenotazioni alberghiere in questo periodo siano state molto più basse rispetto al solito a causa della pandemia. «Tuttavia, è difficile dire quante persone siano state colpite, a causa della quantità di dati esposti», spiegano gli esperti. «Inoltre, molti dei registri di dati contenevano dati personali riguardanti numerose persone su un’unica prenotazione (famiglie, ad esempio). Infine, alcuni dei registri di dati includevano modifiche e cancellazioni. Per questi motivi, il numero effettivo di persone esposte potrebbe essere molto più alto del numero di prenotazioni registrate».

Il rischio

Secondo Website Planet è difficile sapere se qualcuno abbia approfittato di questi dati. L’unica certezza è che con un arsenale di questa portata si potrebbero effettuare frodi con carta di credito, acquisti illegittimi, furti di identità, truffe, campagne di phishing e attacchi malware. «Con i dati personali sottratti sarebbe facile stabilire un rapporto di fiducia e incoraggiare le persone a fare clic sui collegamenti incorporati con malware o fornire preziosi dati privati», spiegano gli esperti. «I criminali informatici potrebbero utilizzare i dettagli dei soggiorni in hotel per creare truffe convincenti e rivolgersi a persone benestanti che hanno soggiornato in hotel costosi per ottenere il massimo. Infine, se un soggiorno in hotel avesse rivelato informazioni imbarazzanti o compromettenti sulla vita di una persona, avrebbero potuto usarle per ricatti ed estorsioni».