Miljoenen hotelboekingen met creditcarddata van Booking.com en Expedia vrij toegankelijk

Uit onderzoek van een team van Website Planet bleek dat een in een verkeerd geconfigureerde AWS S3-bucket miljoenen records terug te vinden zijn. Het gaat om hotelboekingen met details over bijvoorbeeld de kredietkaarten van klanten. De data was vrij toegankelijk en valt onder het beheer van de Spaanse firma Prestige Software. Die laatste is een partner van heel wat grote boekingbedrijven als Booking.com of Expedia.

Booking.com

In totaal zou het gaan om 24,4B aan records met een verzameling aan hotelboekingen over heel de wereld. Zelfs toen het onderzoeksteam inzicht had in de data kwamen er gewoon realtime nog records bij. De AWS S3-bucket was dus nog in gebruik. De onderzoekers konden data terughalen tot en met 2013. Maar er zat natuurlijk ook recentere data in.

Het gevaar hier is dat het om zeer gevoelige data ging die onbeschermd op internet stond. Kredietkaarten, naam, adres, paspoortnummers en e-mailadressen. Het was allemaal vrij beschikbaar. De onderzoekers publiceerden hun rapport al op 6 november, maar het gevoelige nieuws lijkt nu pas te zijn opgepikt. Website Planet heeft in zijn rapport de ernst van dit datalek ook op het hoogste niveau gezet.

Amazon Web Services

De fout zat ‘m in een S3-bucket van AWS die verkeerd configureerd was. Daardoor was de data gewoon vrij toegankelijk op internet. Momenteel is het niet geweten of de fout al langer aan de gang was en hoe lang de data al vrij raadpleegbaar was. Momenteel zou alles al zijn vergrendeld en het Spaanse Prestige Software zou ook hebben bevestigd eigenaar te zijn van die data. Het bedrijf is ook verplicht om aangifte toen conform de geldende GDPR-wetgeving maar heeft daar nog geen woord over laten vallen.

Ook Booking.com of Expedia en andere grote spelers hebben nog geen statement rond dit gevoelige datalek naar buiten gebracht. Het volledige rapport kan je hier nalezen.