Un fallo de seguridad de la compañía Prestige Software, con sede en España, ha expuesto los datos personales de millones de huéspedes de hoteles de todo el mundo.
Según un informe de Website Planet, esta información ha estado expuesta desde el año 2013 e incluye detalles como nombre de clientes, número de DNI e información de tarjeta de crédito.
Prestige Software vende el channel manager Cloud Hospitality, que permite a los hoteles integrar sus sistemas de reserva con sitios web como Booking o Expedia.
Según denuncia Website Planet, Prestige Software almacenó los datos de los huéspedes durante años sin ningún tipo de protección. Marke Holden, investigador de Website Planet, afirma que el bucket de AWS (Amazon Web Services) mal configurado contenía más de 10 millones de archivos de registro, lo que suponía más de 24,4 GB de datos al descubierto. Encontraron más de 180.000 datos de clientes solo durante el mes de agosto de 2020.
Más de 10 millones de personas afectadas
Si bien la mayor parte de los datos expuestos incluye nombre de cliente, DNI o pasaporte, dirección postal y teléfono, también se han filtrado detalles de la tarjeta de crédito de muchos de ellos, como el número, nombre o fecha de vencimiento. Entre los datos expuestos también se encontraban el precio total de la reserva, la fecha de la estancia, el precio que se pagó por noche o las solicitudes adicionales que hicieron los huéspedes.
Según Holden, más de 10 millones de personas pueden verse afectadas por esta violación de seguridad, ya que algunos archivos de registros que representan a una sola reserva contienen datos de todas las personas que se alojaron.
Tras las indagaciones, Website Planet asegura que se han filtrado datos procedentes de fuentes como Booking, Hotels.com, Expedia, Amadeus, Agoda, Hotelbeds o Sabre, entre otras.
Lo que todavía no está claro es cuánto tiempo estuvieron expuestos los datos y si algún grupo de ciberdelincuentes accedió a ellos. Website Planet afirma que notificó a AWS del fallo antes de hacerlo público y que la compañía lo solventó al día siguiente.
Imágenes cedidas: Markus Spiske on Unsplash