קבוצת חוקרי אבטחה של אתר WebsitePlanet גילו פרצת אבטחה באחסון הענן של חברת Prestige Software הספרדית, שהפעילה בעבור אתרי הזמנות מלונות רבים שירות בשם Cloud Hospitality שקישר בין האתרים והמלונות עצמם, שירות שאחסן באופן לא מאובטח כמות אדירה של מידע, שכלל בין השאר את פרטי האשראי של הלקוחות.
מהמידע החדש עולה כי Prestige Software הפעילה את השירות דרך שרת AWS S3 של אמזון עם הגדרות שגויות ל-Bucket (מבנה אחסון נתונים בשרת), שאיפשרו למידע ההזמנות של האתרים השונים להיות נגיש על ידי גורמים זרים, בהם חוקרי האבטחה עצמם. עם זאת, אין ראיה לכך שהפרטים הללו דלפו בפועל לגורמים זדוניים, אלא רק כי האפשרות הייתה קיימת עד שתוקנה.
לפי בדיקת אתר websiteplanet, הדלפת המידע הנוכחית מגיעה בנפח של 24.4GB בשרת של אמזון, עם פרטים של למעלה מ-10 מיליון הזמנות מאז 2013 ועד היום. המידע כולל לא רק פרטי אשראי אלא שמות מלאים, טלפונים, מיילים, מספרי הזמנות ומידע נוסף שיכול לשמש לא רק לחיוב אשראי, אלא להונאות וגניבת זהויות של משתמשים.
בין אתרי ההזמנות מהן דלפו פרטי האשראי ניתן למצוא את:
- Agoda
- Amadeus
- Booking.com
- Expedia
- Hotels.com
- Hotelbeds
- Omnibees
- Sabre
- ועוד רבים אחרים.
בעוד שלפי Website Planet, חברת Prestige Software תיקנה את פרצת האבטחה שהתגלתה לאחר יום מהדיווח שלהם, אי אפשר לדעת לכמה גורמים זדוניים התגלגל המידע הרגיש עד עכשיו, אם בכלל.
מדובר על אחת מפרצות האבטחה הגדולות ביותר בתקופה האחרונה, כאשר המידע שהתגלה בלוגים של חברת Prestige Software סיפק מידע לא רק על פרטי האשראי של המשתמשים, אלא גם פרטים נוספים עליהם, מה שמגדיל את הסיכון בצורה ניכרת.
