• Persoonsgegevens miljoenen vakantiegangers tijdelijk in te zien

Persoonsgegevens miljoenen vakantiegangers tijdelijk in te zien

Clock Geplaatst op woensdag 11 november 2020

Meer dan tien miljoen bestanden over hotelboekingen konden worden geraadpleegd doordat een cloudserver verkeerd was geconfigureerd. Tal van persoonlijke gegevens lagen hierdoor op straat. De data werd beheerd door het Spaanse Prestige Software en werkte onder meer samen met Booking.com en Expedia. Direct nadat dit bekend werd, heeft Amazon het gat gedicht.

Dat schrijft het beveiligingsteam van Website Planet. Volgens de medewerkers gaat het om 24,4 GB aan logbestanden die een schat aan informatie bevatten over hotelboekingen. Daarbij gaat het niet alleen om recente boekingen: de data gaat terug tot 2013.

Privégegevens op straat door verkeerd geconfigureerde server

Prestige Software, dat opereert vanuit de Spaanse hoofdstad Madrid, sloeg jarenlang de data van hotelbezoekers op. Daarvoor maakte ze gebruik van Amazon Web Services Simple Storage Service, of kortweg AWS S3. Deze was echter verkeerd ingesteld, waardoor hackers en cybercriminelen de hand konden leggen op tal van persoonsgegevens. Deze informatie verzamelen ze om door te verkopen of om identiteitsfraude te plegen. Zo was het in theorie mogelijk om een hotelreservering te wijzigen zodat ze zelf op vakantie konden op kosten van de oorspronkelijke hotelgasten.

Nog erger: de gegevens waren niet beveiligd. Uit screenshots blijkt dat de data in plaintext was opgeslagen. Voor- en achternamen, adresgegevens, paspoortnummers, e-mailadressen en creditcardgegevens waren hierdoor kinderlijk eenvoudig te lezen: je hoefde alleen de juiste string te vinden. Details voor hotelreserveringen lagen eveneens open en bloot op straat. In de logbestanden zie je in een handomdraai in welk hotel iemand had gereserveerd, maar ook voor hoeveel nachten, wat een hotelkamer per nacht kostte en of ze aanvullende wensen hadden.

Persoonsgegevens van miljoenen hotelgasten wereldwijd op straat

Website Planet zegt dat door de onjuiste afstemming en niet-beveiligd opslaan van persoonsgegevens 24,4 GB aan logbestanden is blootgesteld. Hoeveel hotelbezoekers hiervan de dupe zijn geworden is onduidelijk, maar volgens de site gaat het om honderdduizenden huishoudens en miljoenen klanten wereldwijd. Alleen al tussen januari en augustus 2020 bevatte de cloudserver meer dan 180.000 logbestanden met privacygevoelige details. En dat is alleen nog maar dit jaar. Volgens het beveiligingsteam van Website Planet gaat de data terug tot 2013.

Prestige Software biedt een channel management platform aan onder de noemer Cloud Hospitality. Hoteleigenaren kunnen met dit platform doorgeven hoeveel kamers zij beschikbaar hebben in welke periode aan partijen als Booking.com, Expedia, Hotels.com, Agoda en tal van andere boekingwebsites. Als iemand op de ene website een hotelkamer reserveert, is deze niet langer beschikbaar bij andere aanbieders. Cloud Hospitality wordt door de grootste hotelboekingwebsites en (online) reisbureaus gebruikt.

Deze regels overtreedt Prestige Software

Het is onbekend hoe lang de data toegankelijk was en op welke schaal deze door hackers is gedownload. Wat wel duidelijk is, is dat Prestige Software de PCI DSS heeft overtreden. Dat staat voor Payment Card Industry Data Security Standard. Dit is een informatiebeveiligingsstandaard voor organisaties die zaken doen met creditcardmaatschappijen en de gegevens daarvan verwerken en opslaan. Afhankelijk van hoeveel creditcardtransacties een organisatie verwerkt, des te strenger de beveiligingsregels.

Het datalek is tevens een overtreding van de Algemene Verordening Gegevensbescherming (AVG). Deze stelt strenge eisen aan het verwerken van persoonsgegevens en bepaalt dat bedrijven technische en organisatorische maatregelen treffen om de veiligheid en privacy van klanten te garanderen. Als bedrijven daar niet in slagen, riskeren ze torenhoge boetes die kunnen oplopen tot 4 procent van de wereldwijde omzet. Daarnaast staat er in de AVG dat organisaties die te maken hebben met een datalek dit moeten doorgeven aan de nationale toezichthouder. Die bepaalt op zijn beurt of er een onderzoek ingesteld moet worden en of er een sanctie staat op de overtreding.

Amazon treft direct maatregelen

Website Planet schrijft dat ze, vanwege de aard en gevoeligheid, direct contact heeft opgenomen met Amazon toen ze op het lek stuitte. De retailer trof direct maatregelen: daags na de melding was de AWS S3-bucket niet langer toegankelijk voor iedereen. Website Planet heeft vastgesteld dat de gegevens authentiek zijn door enkele gelekte e-mailadressen te gebruiken en de eigenaren daarvan te e-mailen.

Prestige Software erkent tegenover de site dat ze eigenaar is van de data. Ze heeft echter geen persverklaring naar buiten gebracht waarin ze meer tekst en uitleg geeft over het datalek. Website Planet raadt iedereen aan die in het recente verleden via een van de getroffen boekingsbureaus zaken heeft gedaan, om contact op te nemen met het bedrijf. Zij kunnen tekst en uitleg geven over de vervolgstappen.

Marriott getroffen door omvangrijk datalek

Hotelketen Marriott werd enkele jaren geleden ook getroffen door een grootschalig datalek. In 2014 slaagden hackers erin om toegang te verkrijgen tot de servers van de hotelgroep Starwood Hotels. Daarbij wisten ze persoonlijke gegevens als naam, woonadres, e-mailadres en creditcardnummer buit te maken van 500 miljoen oud-gasten. Twee jaar later kocht Marriott Starwood Hotels. De grote hotelketen was daarmee verantwoordelijk voor de afhandeling van het datalek. Medewerkers van Marriott hoorden echter pas in 2018 van het datalek.

De Information Commissioner’s Office (ICO) onderzocht het voorval. Volgens de privacywaakhond had het Marriott de zaak niet grondig genoeg bestudeerd en haar systemen onvoldoende beveiligd. Eind oktober besloot de toezichthouder om het Marriott een boete van 18,4 miljoen pond op te leggen, omgerekend 20,5 miljoen euro. “Als een bedrijf nalaat om goed voor de data van haar klanten te zorgen, dan is een boete nog de minste zorg. Wat er het meeste toedoet is dat ze een plicht heeft om deze gegevens te beschermen”, aldus de ICO.

Bron: https://www.vpngids.nl/nieuws/persoonsgegevens-miljoenen-vakantiegangers-tijdelijk-in-te-zien/

Arrow leftTerug naar overzicht
Cross icon