La plataforma de reservas de hoteles de la firma española ”Prestige Software”, que utilizan algunos de los sitios web de reservas online más grandes del mundo, dejó expuestos datos altamente sensibles de millones de huéspedes, que se remontan a 2013 e incluyen datos de tarjetas de crédito de 100.000 personas. Prestige Software vende una plataforma […]
La plataforma de reservas de hoteles de la firma española ”Prestige Software”, que utilizan algunos de los sitios web de reservas online más grandes del mundo, dejó expuestos datos altamente sensibles de millones de huéspedes, que se remontan a 2013 e incluyen datos de tarjetas de crédito de 100.000 personas.
Prestige Software vende una plataforma de gestión de canales llamada Cloud Hospitality a hoteles que automatizan su disponibilidad en sitios web de reservas online como Expedia y Booking.com.
Según Website Planet, que se ocupa de las revisiones en línea, el software Prestige almacenaba años de datos de tarjetas de crédito de huéspedes de hoteles y agentes de viajes sin ninguna protección en un bucket de S3 de Amazon Web Services (AWS) mal configurado. Como resultado, se expuso una gran cantidad de datos: más de 10 millones de archivos de registro individuales en total, que datan de 2013.
No se sabe con certeza cuánto tiempo se dejaron abiertos los datos o si alguien los tomó. Website Planet dijo que el agujero se cerró un día después de informar a AWS sobre la exposición. Prestige confirmó que era dueño de los datos.
El daño podría ser severo si los delincuentes encuentran los datos. WP advirtió que podría generar riesgos demasiado comunes con la exposición de datos de hoteles, como fraude con tarjetas de crédito, robo de identidad y estafas de phishing. Los perpetradores podrían incluso secuestrar una reserva para robar las vacaciones de otra persona.
Según un informe compilado por Mark Holden de Website Planet, los datos expuestos pertenecían a huéspedes del hotel y contenían lo siguiente:
Dado que Prestige Software tiene su sede en Europa y los datos expuestos pertenecen a personas de todo el mundo, incluidos ciudadanos de ciudadanos europeos; la empresa debe prepararse para una fuerte multa y penalización del RGPD de la UE, Reglamento General de Protección de Datos.
Datos de tarjetas de crédito filtrados en la infracción.