Expedia、Booking、Hotels.com網站用戶快換密碼！訂房網站錯誤設定AWS雲端平台導致用戶個資外洩

一個許多知名訂房網站使用的訂房軟體因為Amazon Web Services (AWS) S3儲存體組態錯誤，造成訂房用戶信用卡等隱私資料外洩，影響超過千萬人。

安全廠商Website Planet日前在網路上發現一個AWS S3儲存體組態不當致使資料曝露在網際網路上，追蹤後發現這個儲存體屬於西班牙軟體商Prestige Software開發的Cloud Hospitality，這個平台讓飯店訂房系統和知名訂房網站，如Expedia、Booking、Agoda、Hotels.com等整合。

安全廠商發現掛在網路上公開的S3資料庫包含2013年以來超過千萬筆紀錄，高達24.4GB。但是研究人員Mark Holden警告實際受影響用戶可能更多，因為一筆訂房紀錄包含好幾個人的可辨識資訊(personally identifiable information, PII)。

這些外洩的用戶個資包括客戶全名、電子郵件、身份證或護照號碼、電話等。還有數十萬人的信用卡資訊包括卡號、持卡人姓名、3位數驗證碼及到期日等也曝光。

研究人員警告，這些資料可能已經流入惡意人士之手，而用於竊取帳號、寄送釣魚電子郵件、甚至綁架或變更訂房資料等。雖然目前還沒有證據顯示這些已經發生，但一旦發生，將對用戶造成重大隱私、安全及財務上的損害。

這些資料來自由訂房網站及訂房系統包括Booking、Hotels.com、Expedia、Amadeus、Sabre等訂飯店的用戶。由於出錯的是Cloud Hospitality，責任並不在這些平台身上。

而這家西班牙軟體公司可能面臨GDPR及PCI DSS相關主管機關介入調查。

來源：InfoSecurity Magazine