Les données de millions de clients d'hôtels étaient accessibles sur Internet
Un système de réservation qui relie les hôtels aux plateformes comme Expedia a laissé les données de millions d’utilisatrices et d’utilisateurs accessibles sur le net. En plus de noms et d’adresses, des données complètes de cartes de crédit étaient accessibles. La fuite de données est censée être colmatée à l’heure qu’il est.
Le logiciel « Cloud Hospitality » du fournisseur espagnol Prestige Software était concerné. Ce service cloud relie les systèmes de réservation des hôtels avec des sites de réservation comme Booking.com, Expedia ou encore Hotels.com. Les hôtels gèrent ainsi leurs réservations sur plusieurs plateformes en même temps : si un client réserve une chambre via l’un de ces services, celle-ci sera automatiquement indisponible chez les autres.
Les données de réservation accessibles allaient jusqu’à 2013 et étaient enregistrées de manière non protégée sur un serveur. C’est ce que communique l’équipe sécurité du site de développeurs Website Planet (en anglais) qui a découvert la fuite de données. Les données contenaient des noms, des adresses postales et e-mail, des numéros de téléphone ainsi que des numéros de papiers d’identité. De plus, toutes les données de carte de crédit étaient enregistrées en texte clair, date d’expiration et code de vérification inclus. Des détails de la réservation, comme le nombre de nuitées ou les coûts engendrés pour l’hôtel étaient également accessibles.
Plus de 10 millions de données
En tout, plus de 10 millions de données sont censées s’être trouvées sur le serveur. Rien qu’en août 2020, 180 000 données étaient visibles — et de nouvelles données étaient ajoutées en permanence. Comme plusieurs noms étaient parfois compris dans une réservation, il est difficile de dire combien de personnes sont concernées par cette fuite de données. On ne sait pas non plus quels hôtels utilisent ce logiciel.
Jusqu’à présent, Prestige Software n’a pas officiellement pris position. L’entreprise a cependant confirmé qu’il s’agissait bien de données provenant de son système, précise l’article de blog de Website Planet. La fuite de données a entre-temps été colmatée. On ignore si des tiers ont subtilisé des données avant cela. Les données enregistrées peuvent être par exemple utilisées pour des spams et des e-mails d’hameçonnage, des vols d’identité et des fraudes à la carte bancaire.
Concrètement, les données proviennent des sites de réservation Agoda, Amadeus, Booking.com, Expedia, Hotels.com, Hotelbeds, Omnibees et Sabre. Comme toutes les données n’ont pas été analysées, cette liste est probablement plus longue, d’après Website Planet. La fuite de données ne provient cependant pas d’erreurs de ces prestataires. On ne sait pas encore quelles en seront les conséquences. D’après le Règlement général européen sur la protection des données (RGPD), Prestige Software doit signaler l’incident à l’autorité compétente en matière de protection des données. En cas d’infractions graves, la RGPD prévoit de lourdes amendes. De plus, Website Planet ajoute que les données de cartes de crédit enregistrées sans protection vont à l’encontre du « Payment Card Industry Data Security Standard », un standard de sécurité des fournisseurs de cartes de crédit.(js)