全球数百万酒店客人信息被泄露 涉及身份证号等10余项

2020-11-22 18:19:02 0

近日,数据安全研究人员Mark Holden发布报告称,西班牙公司Prestige Software发生数据泄露,包括全球数百万酒店客人的姓名、身份证号等高度敏感数据。Booking.com等多家在线预订平台的用户都是此次数据泄露的受害者。

防泄密系统

数据安全人员Mark Holden发布的报告。

据了解,泄露的数据为24.4GB,总计超过1000万个文件,包含10万多人的信用卡信息,最早可以追溯到2013年。

Holden称,Prestige Software将云酒店(一种连接预订网站和酒店的渠道管理器,可管理房间可用性和空置率)的数据存储在了亚马逊云服务器上。但由于配置错误,导致数据泄露。

根据Holden列出的遭遇信息泄露的部分酒店预订平台,Agoda、Amadeus、Booking.com、Expedia、Hotels.com、Hotelbeds、Omnibees、Sabre等知名平台均在列,全球数百万人可能受到此次数据泄露的影响。

他表示,仅从2020年8月开始,云服务器包含了超过18万条记录。每一条记录都暴露了预订人的可识别个人身份信息(Personally Identifiable Information,PII)。

上述报告显示,被泄露的用户数据具体包括:

个人身份信息(PII):酒店客人的全名、电子邮件地址、身份证号码、电话号码。

信用卡详细信息:卡号、持卡人姓名、CVV、到期日期。

预订细节:预订号码、入住日期、每晚支付的价格,客人提出的任何额外要求,人数,客人姓名,等等。

Holden表示,不仅是预订人,数据记录还包括了其他人的个人身份信息,如预订者的家人,因此个人信息被泄露的实际人数可能远远高于目前所记录的数据。

“我们不能保证在我们找到数据之前,没有人访问过S3存储桶并窃取数据。”他指出,如果数据真的被窃取,将对受害者的隐私、安全和经济利益产生巨大影响。

另外,由于Prestige Software总部设在欧盟成员国西班牙,为许多欧盟居民处理数据,因此它属于欧盟《通用数据管理条例》(GDPR)管辖范围之内。

Holden强调,Prestige Software必须上报此次数据泄露事件,并确保其系统不再存在漏洞。如果不这样做,公司可能面临来自欧盟执法机构的法律行动和巨额罚款。

隐私护卫队梳理发现,酒店客人信息泄露事件已非首次。

2017年10月,凯悦集团旗下41家酒店的支付系统被“黑”,大量用户数据外泄。2018年11月,万豪旗下的喜达屋酒店3.39亿客户信息泄露。2020年2月,超过1060万曾入住美高梅度假酒店的客人个人信息被泄露。