Une faille de sécurité due à une mauvaise configuration du serveur a mis en danger les données des réservataires des principales plateformes de réservation en ligne pendant des années
Mauvaise nouvelle pour les sites de réservation d'hôtels et de voyages : une faille du système a pu mettre en danger les cartes de crédit et les données personnelles. C'est un logiciel qui aurait permis la fuite des données de clients de plateformes en ligne, en raison d'une mauvaise configuration de la plateforme cloud Amazon Web Services. Il ne s'agissait pas d'une arnaque au voyage en ligne, mais d'une erreur technique.
La violation de données a été signalée par Website Planet, qui a également révélé quelques informations sur l'étendue des dégâts. Les informations potentiellement à risque concernent les comptes et les réservations effectuées depuis 2013. L'équipe de sécurité du site a également indiqué que la violation était due à un mauvais stockage des données des utilisateurs par Prestige Software, une société basée à Madrid et à Barcelone qui fournit un programme de gestion des réservations appelé Cloud Hospitality, qui gère automatiquement les disponibilités sur les portails de réservation.
Données en danger, Cloud Hospitality à blâmer
Le logiciel Cloud Hospitality, qui est utilisé pour organiser les disponibilités sur les sites de réservation de voyages, n'est pas directement responsable de l'exposition des données. Le cloud Amazon, hébergé sur Amazon Web Services S3, serait au cœur de la violation massive de données.
Cloud Hospitality a été choisi par de nombreuses personnes pour gérer les réservations dans le monde entier, et a collecté plus de 10 millions de fichiers journaux individuels depuis 2013. Quelques heures après la découverte, le serveur cloud d'Amazon était toujours opérationnel avec plus de 180 000 réservations effectuées rien qu'en août 2020.
Cloud Hospitality, quelles sont les données à risque
Les données exposées par la violation de données sont nombreuses, certaines revêtant une importance particulière. Outre les noms complets, les documents et les adresses électroniques inclus dans les réservations, les références aux réservations elles-mêmes et les détails des cartes de crédit utilisées à la fois pour bloquer la réservation et pour le paiement, s'il est effectué en même temps que la réservation, seraient également non chiffrés.
En particulier, les données à risque sont les noms complets et les numéros des détenteurs de cartes, le numéro CVV et la date d'expiration. Il est donc conseillé de garder un œil sur vos moyens de paiement afin d'éviter les mauvaises surprises sur votre compte bancaire dans les semaines à venir.
Données à risque, quels sites web sont touchés
Selon Website Planet, les données traitées par un grand nombre de portails web, parmi les plus utilisés pour les réservations, ont été affectées. Outre Booking.com et Expedia, les noms Agoda, Hotels.com, Amadeus, Sabre, Omnibees et Hotelbeds ont également été signalés.