Expedia, Booking e Hotels.com, esposti i dati di milioni di viaggiatori: ecco perché è successo - Cyber Security 360

L'ANALISI

Expedia, Booking e Hotels.com, esposti i dati di milioni di viaggiatori: ecco perché è successo

A causa di un errore di configurazione in un database, la piattaforma di prenotazione Cloud Hospitality che fa da “intermediaria” tra gli alberghi e i siti di prenotazione online come Expedia, Booking e Hotels.com, ha esposto oltre dieci milioni di registrazioni (circa 24 GB di dati sensibili) relative agli ospiti degli hotel. Ecco cosa è successo

10 Nov 2020
G
Stefano Gazzella

Consulente Privacy & ICT Law, Data Protection Officer

La piattaforma di prenotazione Cloud Hospitality, utilizzata per gestire automaticamente la disponibilità degli hotel nei circuiti di prenotazione online di tutto il mondo facendo da “intermediaria” con i siti di prenotazione online come Expedia, Booking e Hotels.com, ha esposto i dati di centinaia di migliaia di utenti a causa di una configurazione non corretta del Bucket AWS S3.

Come conseguenza di tale errore, un database con utenti che hanno prenotato un volo, un viaggio o una vacanza tramite servizi quali Agoda, Amadeus, Booking.com, Expedia, Hotels.com, Hotelbeds, Omnibees, Sabre o similari, è risultato essere non protetto e dunque liberamente accessibile e consultabile.

I dati coinvolti dal data leak riguardano oltre 10 milioni di registrazioni risalenti al 2013, e 180 mila di agosto 2020, e consistono nelle informazioni relative all’identità degli ospiti (nome, e-mail, numero di documento, contatto telefonico), ai dati di pagamento (dati della carta di credito, costo della prenotazione) e ai dettagli della prenotazione (numero identificativo, durata, prezzo applicato, eventuali richieste da parte degli ospiti).

I rischi per gli interessati

Svolgendo una valutazione dell’evento secondo il metodo ENISA – European Union Agency for Network and Information Security, descritto all’interno del Working Document “Recommendations for a methodology of the assessment of severity of personal data breaches” (pubblicazione: Dicembre 2013), la gravità della perdita di riservatezza dei dati di tipo finanziario con tutti gli ulteriori dati identificativi, vista la concreta possibilità di essere esposti a frodi ed ulteriori minacce, valutato il contesto del trattamento e le circostanze di violazione, si assesta su un livello fra alto e molto alto.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy

Le minacce incombenti sugli interessati coinvolti dal data leak possono infatti riguardare molteplici aspetti: furto d’identità, frodi, impieghi non autorizzati delle carte di credito, phishing mirato.

Qualora dalla prenotazione siano emersi dettagli imbarazzanti o compromettenti, inoltre, è fornita ai cybercriminali anche la possibilità di compiere ricatti o minacce.

La lezione da imparare

L’impatto verso gli interessati è elevato, ma anche le conseguenze verso la società spagnola Prestige Software che fornisce il servizio non sono da meno. Risulta, infatti, che la fiducia degli hotel verso il servizio abbia subito una drastica diminuzione dopo la notizia, e che l’ombra di istanze risarcitorie per i danni (sia da parte degli interessati che da parte degli hotel) nonché interventi sanzionatori da parte dell’Agencia Española de Protección de Datos, l’autorità di controllo spagnola, qualora siano riscontrate violazioni del GDPR.

Un incidente di sicurezza di questo tipo espone a molteplici conseguenze, reputazionali e legali, soprattutto le aziende data-driven e conferma inoltre l’esigenza di garantire un’elevata protezione ai dati personali attraverso l’approccio risk-based richiesto dall’art. 32 GDPR.

Dal momento che le configurazioni non corrette del server e la conseguente esposizione del database non rientrano nel novero delle violazioni di sicurezza sconosciute, ma anzi sono state spesso oggetto di cronaca per alcuni data leak particolarmente rilevanti, l’analisi del contesto storico (e dunque: delle minacce già note) si rivela uno strumento essenziale per predisporre misure preventive (quali una procedura di verifica o un test delle corrette impostazioni del server, ad esempio).

Qualora, infatti, si fosse trattato di uno “0-day incident”, e dunque di una tipologia di incidente del tutto nuova e sconosciuta, nulla si potrebbe chiedere se non l’adozione di misure rimediali e successive.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4