Prestige Software, qui commercialise une plateforme de réservation utilisée par Booking, Expedia et Hotels.com, a exposé près de 10 millions de données clients à cause d’une mauvaise configuration.
Les données des clients sont nombreuses. Il y a les noms, adresses e-mail, numéros d’identification nationaux et numéro de téléphone. On retrouve aussi les données complètes des cartes bancaires et le coût total des réservations. Il y a même les détails sur les réservations, comme l’identifiant, la durée du séjour, le prix, le nombre de personnes, les noms des invités et plus encore.
Prestige Software commercialiste une plateforme appelée « Cloud Hospitality » qui permet aux hôtels d’automatiser leur disponibilité sur les sites de réservation en ligne. Cette plateforme est notamment utilisée par Booking, Expedia, Hotels.com, Agoda, Amadeus, Hotelbeds, Omnibees… « Plein d’autres sites » sont concernés mais Website Planet, qui est à l’origine de la découverte de la faille, n’a pas pu tous les repérer.
Les premières données exposées remonteraient à l’année 2013, mais pour le moment, il est impossible de savoir combien de temps exactement ces données ont été librement accessibles, ni si quelqu’un les a dérobé. En cas de vol, des cybercriminels disposaient de suffisamment d’éléments pour commettre des vols d’identité, des cyberattaques, des campagnes d’hameçonnage ou des fraudes à la carte de crédit.
Entreprise installée en Espagne, Software Prestige est soumise aux obligations du Règlement général sur la protection des données (RGPD). L’Agencia Española de Protección de Datos, l’équivalent de la Cnil en Espagne, pourra donc infliger une amende allant jusqu’à 4 % du chiffre d’affaires annuel mondial de l’entreprise si elle estime que les données ont été mal sécurisées.
