Un bucket S3 mal configuré a laissé en libre accès en ligne les données, y compris bancaires, de millions de clients d’hôtels ayant réservé via Booking, Expedia ou encore Hotels.com. Un prestataire de ces plateformes est en cause. 

Le secteur de l’hôtellerie est souvent la cible des cybercriminels mais, cette fois-ci, c’est une erreur qui a exposé 24,4 Go de données de clients d’hôtels. Website Planet a déniché ce bucket S3 librement accessible sur Internet. Sont concernés Amadeus, Booking.com, Hotels.com, Expedia et d’autres plateformes de réservations en ligne. 

Mais ces derniers ne sont pas directement responsables de l’exposition de ces données : est mise en cause la société espagnole Prestige, un intermédiaire dont la principale solution permet de connecter les sites de réservation et les logiciels utilisés par les hôtels pour gérer les chambres. Et comme souvent, il s’agit d’une erreur de configuration d’un bucket S3 d’AWS qui a exposé ces données. 

24,4 Go de données, dont des informations bancaires

Parmi elles, des noms, numéros de carte d’identité, numéros de téléphones et adresses emails, mais aussi des informations de cartes bancaires, les détails des paiements et les informations relatives aux réservations, le tout sur une période s’étendant de 2013 à au moins août 2020. 10 millions de fichiers étaient ainsi librement accessibles en ligne

Website Planet explique ne pas savoir si des personnes malintentionnées ont eu accès aux données, et depuis combien de temps elles étaient ainsi exposées. De même, il est difficile d’estimer le nombre de personnes concernées. AWS a fermé l’accès au bucket dans les 24h après que Website Planet ait signalé le problème. Prestige n’a pas pour l’heure réagi. 

Les données de millions de clients d’Hotels.com, d’Expedia et de Booking exposées en ligne