Expedia、Booking、Hotels.com網站用戶快換密碼!訂房網站錯誤設定AWS雲端平台導致用戶個資外洩
一個許多知名訂房網站使用的訂房軟體因為Amazon Web Services (AWS) S3儲存體組態錯誤,造成訂房用戶信用卡等隱私資料外洩,影響超過千萬人。
安全廠商Website Planet日前在網路上發現一個AWS S3儲存體組態不當致使資料曝露在網際網路上,追蹤後發現這個儲存體屬於西班牙軟體商Prestige Software開發的Cloud Hospitality,這個平台讓飯店訂房系統和知名訂房網站,如Expedia、Booking、Agoda、Hotels.com等整合。
安全廠商發現掛在網路上公開的S3資料庫包含2013年以來超過千萬筆紀錄,高達24.4GB。但是研究人員Mark Holden警告實際受影響用戶可能更多,因為一筆訂房紀錄包含好幾個人的可辨識資訊(personally identifiable information, PII)。
這些外洩的用戶個資包括客戶全名、電子郵件、身份證或護照號碼、電話等。還有數十萬人的信用卡資訊包括卡號、持卡人姓名、3位數驗證碼及到期日等也曝光。
研究人員警告,這些資料可能已經流入惡意人士之手,而用於竊取帳號、寄送釣魚電子郵件、甚至綁架或變更訂房資料等。雖然目前還沒有證據顯示這些已經發生,但一旦發生,將對用戶造成重大隱私、安全及財務上的損害。
這些資料來自由訂房網站及訂房系統包括Booking、Hotels.com、Expedia、Amadeus、Sabre等訂飯店的用戶。由於出錯的是Cloud Hospitality,責任並不在這些平台身上。
而這家西班牙軟體公司可能面臨GDPR及PCI DSS相關主管機關介入調查。