Das spanisches Softwareunternehmen Prestige Software hat sensible private Reise-Daten von Millionen von Kunden auf der ganzen Welt offengelegt
Sicherheitsforscher Mark Holden informiert bei Website Planet in einem Bericht darüber, dass Prestige Software, ein in Madrid und Barcelona, Spanien, ansässiges Softwareunternehmen, bereits seit 2013 bis jetzt andauernd, sensible, private Daten weltweit von Millionen Hotelgästen geleakt hat. Der im Internet frei verfügbar vorliegende Datensatz umfasst u.a. auch Kreditkartendaten von ca. 100.000 Personen.
Prestige Software stellt eine Channel-Management-Plattform, namens Cloud Hospitality, für Hotels bereit. Diese verwaltet und automatisiert die Verfügbarkeit von Zimmern auf Top-Buchungsseiten. Wie aktuell Sicherheitsforscher Mark Holden aufdeckte, war für die exponierte Datenbank ein falsch konfigurierter AWS S3-Bucket von Amazon Web Services (AWS) verantwortlich. Betroffen von dem Datenleck sind weltweit insbesondere Kunden, die Online-Buchungswebsites nutzten, wie von Booking.com, Expedia, Agoda, Amadeus, Hotels.com, Hotelbeds, Omnibees, Sabre und andere. Holden erklärt dazu.
„Wir haben nicht alle im S3-Bucket verfügbaren Dateien überprüft, daher ist dies keine vollständige Liste. Jede Website und Buchungsplattform, die mit Cloud Hospitality verbunden ist, war wahrscheinlich betroffen. Diese Websites sind nicht verantwortlich für Daten, die dadurch offengelegt werden.“
Prestige Software verantwortlich für 24,4 GB großes Datenleck
Der Prestige Software AWS S3 Bucket enthält mehr als 10 Millionen Protokolldateien aus dem Jahr 2013. Insgesamt hat er eine Größe von 24,4 GB. Der S3-Bucket war sogar noch aktiv und in Betrieb während der Sicherheits-Untersuchung. Ständig wurden neue Datensätze hochgeladen. Allein ab August 2020 kamen über 180.000 Datensätze hinzu. Obwohl coronabedingt weltweit Hotelbuchungen für diesen Zeitraum auf einem Allzeittief waren, bezogen sich viele davon auf Hotelreservierungen zahlreicher Websites, weist Holden hin.
Die Sicherheitsforscher stellen fest, dass Prestige Software jahrelange Kreditkartendaten von Hotelgästen und Reisebüros ohne jeglichen Schutz speicherte. Infolge sind nun Millionen von Menschen dem Risiko von Betrug und Online-Angriffen ausgesetzt. Folgende Kundendaten sind offengelegt
- PII-Daten: Vollständige Namen, E-Mail-Adressen, nationale ID-Nummern und Telefonnummern der Hotelgäste
- Kreditkartendetails: Kartennummer, Name des Karteninhabers, CVV und Ablaufdatum
- Zahlungsdetails: Gesamtkosten für Hotelreservierungen
- Reservierungsdetails: Reservierungsnummer, Aufenthaltsdaten, der pro Nacht gezahlte Preis, zusätzliche Anfragen von Gästen, Anzahl der Personen, Namen der Gäste und vieles mehr.
Die Sicherheitsforscher kontaktierten AWS direkt, um das Problem schnell zu beheben. Bereits am folgenden Tag hat man das S3 Bucket gesichert. Indem die Sicherheitsforscher E-Mail-Adressen überprüften, stellten sie infolge fest, dass diese echten Personen gehören. Auch Prestige Software als Daten-Eigentümer hat man informiert. Sie wären dazu verpflichtet, die Kunden über den Leak zu informieren. Möglicherweise müssen Betroffene ihre Kreditkarten stornieren und die entsprechenden Schritte zum Schutz ihrer Identität unternehmen.
Tarnkappe.info