La société espagnole Prestige Software a laissé fuité près de 10 millions de données clients stockées sur un bucket Amazon Web Services S3. A cause d’une mauvaise configuration, les noms, les numéros de carte de crédit, les numéros d’identification et les détails des réservations hôtelières ont été exposés sur Internet. La brèche a été découverte par Website Planet et a été fermée depuis.
PLATEFORME UTILISÉE PAR EXPEDIA, BOOKING..
Prestige Software commercialiste une plateforme appelée « Cloud Hospitality » qui permet aux hôtels d’automatiser leur disponibilité sur les sites de réservation en ligne. Cette plateforme est notamment utilisée par Booking, Expedia, Hotels.com, Agoda, Amadeus, Hotelbeds, Omnibees… « Plein d’autres sites » sont concernés mais Website Planet n’a pas pu tous les repérer.
Les premières données remonteraient en 2013. Mais Website Planet note que le bucket AWS S3 était toujours actif en août 2020, mois durant lequel il a comptabilisé 180 000 enregistrements.
Pour l’instant, il est impossible de savoir combien de temps exactement les données ont été librement accessibles, ni si quelqu’un les a dérobé. Si des cybercriminels mettent la main dessus, ils pourraient les utiliser pour commettre des fraudes à la carte bancaire ou mener des campagnes de phishing.
UN RISQUE D’AMENDE EN CAS DE VIOLATION DU RGPD
Etant situé en Espagne, Software Prestige est soumis aux obligations du Règlement général sur la protection des données (RGPD). L’Agencia Española de Protección de Datos, l’équivalent de la Cnil en Espagne, pourra donc infliger une amende allant jusqu’à 4 % du chiffre d’affaires annuel mondial de l’entreprise si elle estime que les données ont été mal sécurisées.
Alors qu’il traite des données sensibles, le secteur hôtelier est régulièrement confronté à des fuites plus ou moins importante. En France, Gekko Group, filiale d’AccorHotels spécialisée dans la réservation hôtelière B2B, a été à l’origine à une fuite de données personnelles de 140 000 voyageurs en 2019. Récemment, c’est Marriott qui a été condamné à une amende de 20 millions d’euros par la Cnil britannique pour ne pas avoir suffisamment protégé son système.
