Datos sensibles de millones de huéspedes de hoteles quedan expuestos

La compañía ESET de detección de amenazas alertó que por una indebida configuración de un servidor en la nube de una plataforma de reservas, quedó expuesta la información personal de millones de huéspedes, como nombres completos, números de identificación nacional y datos de tarjetas de crédito.

Los datos estaban almacenados en un bucket de Amazon Web Services (AWS) S3 perteneciente a una empresa con sede en España que vende software de gestión hotelera.

Según una nota difundida, “la exposición de esta información, reportada por Website Planet, se originó en el software Channels Manager de la empresa, el cual es utilizado por los hoteles para automatizar el estado de sus vacantes en varios sitios web para la reserva de alojamiento”.

Se explicó que dado que la plataforma se utiliza para conectarse con los sitios web de reservas, algunos de los datos provienen de conocidas agencias de viajes online, como pueden ser Expedia, Booking.com y Agoda, entre otras tantas más, aunque es importante mencionar que no son las responsables de la exposición de los datos.

En total los datos comprendían “más de 10 millones de archivos de registro, incluida información que se remonta al año 2013. Entre los datos había una gran cantidad de información de identificación personal (PII), como los nombres completos de los huéspedes, números de identificación nacional, direcciones de correo electrónico, números de teléfono, así como detalles como el número de reserva, fechas, número de invitados y sus nombres, y el precio pagado”.

Además, contenía datos financieros valiosos, como números de tarjetas de crédito, el nombre del titular de la tarjeta, códigos de verificación de la tarjeta de crédito (CVV) y fecha de vencimiento.

“La cantidad y variedad de registros expuestos ofrece a los cibercriminales material que puede ser utilizado para realizar todo tipo de actividad maliciosa. Los huéspedes del hotel podrían ser víctimas de robo de identidad, ataques de phishing y de otros tipos de ataque de ingeniería social, e incluso de fraude financiero debido a la exposición de datos de tarjetas de crédito“, comentó Camilo Gutiérrez Amaya, jefe del laboratorio de ESET Latinoamérica.