El software de reservas online expuso 10 millones de registros de usuarios

Software de prestigio, una empresa de reservas con sede en Barcelona y Madrid, expuso su base de datos, que contiene más de 10 millones de registros de usuarios. Esto fue informado por Website Planet, que afirma haber visto un AWS S3 sin ninguna autenticación. No se sabe por cuánto tiempo estuvo expuesta la base de datos y quién pudo haber accedido a ella.

Base de datos que expone más de 10 millones de registros de usuarios

Imagen Needpix

Los expertos y las agencias de seguridad cibernética a menudo advierten sobre las bases de datos desprotegidas, que están expuestas en Internet y permiten que los agentes de amenazas ingresen. Aunque hemos visto casos de MongoDB y ElasticSearch extensamente, la última alerta del FBI sobre instancias de SonarQube también es un problema notable. Unirse a este grupo es ahora el grupo AWS de Amazon.

Las empresas que alojan sus datos en AWS tienen una ventaja considerable, pero a menudo se informa que cometen errores comunes, como dejar contraseñas predeterminadas o no definir nada.

Esta configuración incorrecta puede permitir que los atacantes accedan y se filtren en algunos casos, usándola para otras vulnerabilidades. Una de estas empresas es Software de prestigio, una empresa hotelera en línea que gestiona reservas de hoteles en línea.

Como Sitio planetario informado, Prestige Software expuso su base de datos en el bucket de AWS S3 y la protegió después de recibir una notificación. Dijo el toda la base de datos valía 24,4 GB y contenía más de 10 millones de archivos expuestos. Esto afecta a empresas de reservas de hoteles como Agoda, Amadeus, Booking.com, Expedia, Hotels.com, Hotelbeds, Omnibees, Sabre, etc.

Los investigadores informaron que la base de datos expuesta contenía Millones de usuarios PII, en forma de nombres completos, direcciones de correo electrónico, números de identidad nacionales y números de teléfono para los huéspedes del hotel. Adicional, también están los datos confidenciales de la tarjeta de crédito como número de tarjeta, nombre del titular de la tarjeta, CVV, fecha de vencimiento y detalles de pago para reservas de hotel.

La tesorería se actualiza con miles de registros cuando se expone; como dijo el sitio web de Planet, se han visto más de 180.000 registros de agosto de 2020. Como tal, las exposiciones pueden dar lugar a robos comunes, suplantación de identidad y ataques de phishing para una mayor explotación.

Artículos relacionados