NEWS

Booking, Expedia e Hotels.com: esposti i dati personali di milioni di clienti

Grave falla di sicurezza nel sistema di gestione delle prenotazioni di noti portali come Booking, Expedia e Hotels.com che ha esposto a potenziali rischi i dati di milioni di ospiti delle strutture alberghiere. La scoperta è stata fatta dal team di sicurezza di Website Planet, piattaforma di web hosting. Il programma in questione si chiama Cloud Hospitality ed è fornito dalla società spagnola Prestige Software che gestisce, così, sul cloud le disponibilità delle strutture e attraverso cui passano tutti i dati relativi alle prenotazioni, comprese le modalità di pagamento.

Prenotazioni online, esposti i dati sensibili di milioni di clienti

La falla è stata scovata su un bucket S3 di Amazon Web Services non configurato correttamente esponendo appunto i dati di milioni di clienti. I file di registro sarebbero oltre 10 milioni per un totale di 24,4 GB risalenti al 2013, includendo nomi completi, indirizzi e-mail, numeri di telefono, tutti i dettagli della prenotazione e delle carte di credito (numero, nome del titolare, CVV e data di scadenza).

Secondo quanto riportato da Website Planet, l’azienda avrebbe conservato per anni tutti questi dati senza alcuna protezione, esponendo milioni di persone a potenziali rischi e ad attacchi online.

L’indagine ha evidenziato che il bucket S3 era ancora attivo fino a quando non è stata scoperta la falla, corretta poi in 24 ore.

È bene sottolineare che i siti coinvolti come Booking, Expedia e Hotels.com non sarebbero responsabili per quanto accaduto. La responsabilità sarebbe invece da attribuire a Prestige Software, che non ha rispettato tutti i requisiti necessari di sicurezza. Fino a questo momento, non sembrano esserci prove di un potenziale sfruttamento dei dati esposti da parte di malintenzionati. Inoltre, data la mole di informazioni trapelate, risulta difficile stabilire il numero di persone potenzialmente a rischio, che potrebbe essere molto alto.

Fonte: Tom's Hardware

Note Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati personali, iscritta presso il Ministero dello Sviluppo Economico ai sensi della Legge 4/2013. Email: urp@federprivacy.org 

Prev Sul sito dell'Ats Milano bastava sapere il codice fiscale per sapere se qualcuno ha il Covid-19. Indaga il Garante Privacy
Next Regolamento e-Privacy, tutto da rifare

Privacy Officer: come si svolgono gli esami di Certificazione TÜV

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy