Expedia、Booking、Hotels.com 網站用戶快換密碼！訂房網站錯誤設定 AWS 雲端平台導致用戶個資外洩

一個許多知名訂房網站使用的訂房軟體因為 Amazon Web Services (AWS) S3 儲存體組態錯誤，造成訂房用戶信用卡等隱私資料外洩，影響超過千萬人。

安全廠商 Website Planet 日前在網路上發現一個 AWS S3 儲存體組態不當致使資料曝露在網際網路上，追蹤後發現這個儲存體屬於西班牙軟體商 Prestige Software 開發的 Cloud Hospitality，這個平台讓飯店訂房系統和知名訂房網站，如 Expedia、Booking、Agoda、Hotels.com 等整合。

安全廠商發現掛在網路上公開的 S3 資料庫包含 2013 年以來超過千萬筆紀錄，高達 24.4GB。但是研究人員 Mark Holden 警告實際受影響用戶可能更多，因為一筆訂房紀錄包含好幾個人的可辨識資訊 (personally identifiable information, PII)。

這些外洩的用戶個資包括客戶全名、電子郵件、身份證或護照號碼、電話等。還有數十萬人的信用卡資訊包括卡號、持卡人姓名、3 位數驗證碼及到期日等也曝光。

研究人員警告，這些資料可能已經流入惡意人士之手，而用於竊取帳號、寄送釣魚電子郵件、甚至綁架或變更訂房資料等。雖然目前還沒有證據顯示這些已經發生，但一旦發生，將對用戶造成重大隱私、安全及財務上的損害。

這些資料來自由訂房網站及訂房系統包括 Booking、Hotels.com、Expedia、Amadeus、Sabre 等訂飯店的用戶。由於出錯的是 Cloud Hospitality，責任並不在這些平台身上。

而這家西班牙軟體公司可能面臨 GDPR 及 PCI DSS 相關主管機關介入調查。

來源：InfoSecurity Magazine