CAMERA CON VISTA (SUI CAZZI TUOI) - SE AVETE PRENOTATO CON BOOKING, EXPEDIA, HOTELS.COM E ALTRI SITI, I VOSTRI DATI POTREBBERO ESSERE STATI RUBATI ED ESPOSTI ''IN VETRINA'' DA UN GRUPPO DI HACKER. IL GIGANTESCO ARCHIVIO ELETTRONICO CONTENEVA LE GENERALITÀ COMPLETE, L’INDIRIZZO E-MAIL, IL NUMERO DI TELEFONO, LA DATA E LA DURATA DEL SOGGIORNO, LA CARTA DI CREDITO UTILIZZATA PER IL PAGAMENTO (NUMERO, INTESTATARIO, CODICE CCV O CVV E DATA DI SCADENZA)

-


 

Umberto Rapetto per www.infosec.news

 

Un archivio contenente oltre 24 gigabyte di dati è stato lasciato alla mercè dei curiosi. Le informazioni riguardano clienti di Booking.com, Expedia, Agoda, Hotels.com, Hotelbeds, Amadeus, Omnibees, Sabre e altri grandi siti di prenotazione alberghiera.

 

Di chi è la colpa?

 

booking 8

I web appena elencati non sono responsabili e il dito va puntato contro Prestige Software, azienda informatica di Barcellona che fornisce la piattaforma “Cloud Hospitality” agli hotel che gestiscono e automatizzano la disponibilità delle camere sui principali siti di prenotazione.

Un gravissimo errore di configurazione ha impostato il libero accesso ai database senza richiedere account, password o qualsiasi altra autenticazione di sicurezza, permettendo di frugare in almeno dieci milioni di “record” o schede identificative di altrettanti clienti o ospiti che dir si voglia.

 

UMBERTO RAPETTO

C’è da preoccuparsi? Quali dati sono stati rubati?

Il gigantesco archivio elettronico “aperto al pubblico” conteneva – per ciascun “alloggiato” – le generalità complete, l’indirizzo e-mail, il numero di telefono, il numero identificativo della prenotazione, la data e la durata del soggiorno, gli elementi caratteristici della carta di credito utilizzata per il pagamento (numero, intestatario, codice CCV o CVV e data di scadenza).

 

Nella sventura c’è fortunatamente un raggio di sole. I dati risalirebbero al 2013 e quindi i riferimenti finanziari non avrebbero possibilità di essere riutilizzati dagli immancabili malintenzionati. Le carte infatti sono scadute perché il loro termine di validità è di cinque anni.

Restano però “a spasso” tutte le altre informazioni la cui diffusione – ovviamente – è da considerarsi una significativa violazioni alle normativa in materia di privacy.

 

Ma il responsabile sarà giustamente multato?

hacker 4

La riservatezza dei dati personali di quella decina di milioni di clienti (il fatto che le carte di credito fossero difficilmente riutilizzabili poco importa) è senza dubbio stata compromessa e la sanzione prevista per la grave infrazione di Prestige Software potrebbe arrivare a 10 milioni di euro o, se superiore, al 2 per cento del fatturato globale annuo. In pratica un euro a cliente. Una lezione indimenticabile per chi ha sottovalutato il rischio e non ha adottato le precauzioni che era indispensabile attuare.