吳明宜一個許多知名訂房網站使用的訂房軟體因為Amazon Web Services (AWS) S3儲存體組態錯誤,造成訂房用戶信用卡等隱私資料外洩,影響超過千萬人。
一個許多知名訂房網站使用的訂房軟體因為 Amazon Web Services (AWS) S3 儲存體組態錯誤,造成訂房用戶信用卡等隱私資料外洩,影響超過千萬人。
安全廠商 Website Planet 日前在網路上發現一個 AWS S3 儲存體組態不當致使資料曝露在網際網路上,追蹤後發現這個儲存體屬於西班牙軟體商 Prestige Software 開發的 Cloud Hospitality,這個平台讓飯店訂房系統和知名訂房網站,如 Expedia 、 Booking 、 Agoda 、 Hotels.com 等整合。
安全廠商發現掛在網路上公開的 S3 資料庫包含 2013 年以來超過千萬筆紀錄,高達 24.4GB 。但是研究人員 Mark Holden 警告實際受影響用戶可能更多,因為一筆訂房紀錄包含好幾個人的可辨識資訊 (personally identifiable information, PII) 。
這些外洩的用戶個資包括客戶全名、電子郵件、身份證或護照號碼、電話等。還有數十萬人的信用卡資訊包括卡號、持卡人姓名、 3 位數驗證碼及到期日等也曝光。
研究人員警告,這些資料可能已經流入惡意人士之手,而用於竊取帳號、寄送釣魚電子郵件、甚至綁架或變更訂房資料等。雖然目前還沒有證據顯示這些已經發生,但一旦發生,將對用戶造成重大隱私、安全及財務上的損害。
這些資料來自由訂房網站及訂房系統包括 Booking 、 Hotels.com 、 Expedia 、 Amadeus 、 Sabre 等訂飯店的用戶。由於出錯的是 Cloud Hospitality,責任並不在這些平台身上。
而這家西班牙軟體公司可能面臨 GDPR 及 PCI DSS 相關主管機關介入調查。