Cybersecurity News

ข้อมูลแขกผู้เข้าพักโรงแรมกว่าล้านรายรั่วไหลออกไปทางคลาวด์

Cache ของข้อมูลถูกวางเอาไว้บนเซิร์ฟเวอร์เปิด มีข้อมูลชื่อ-สกุล หมายเลขสัญชาติและข้อมูลบัตรเครดิต

ข้อมูลสำคัญหลายอย่างของลูกค้าโรงแรมที่จะดการโดย Prestige Software จากสเปน ถูกพบบนเซิร์ฟเวอร์คลาวด์ของ Amazon Web Services (AWS) สาเหตุมาจากการตั้งค่าที่ผิดพลาด

Website Planet เป็นคนเปิดเผยจากรั่วไหลของข้อมูลจากซอฟต์แวร์บริหารจัดการบนคลาวด์ ที่ใช้สำหรับรับจองโรงแรมผ่านเว็บไซต์ ซึ่งเป็นที่นิยมของเหล่าเอเจนซี่ ทั้ง Expedia, Booking และ Agoda

ข้อมูลบันทึกกว่า 10 ล้านรายการย้อนกลับไปถึงปี 2013 และเป็นข้อมูลที่สามารถนำไประบุตัวบุคคลหรือ Personal Identifiable Information (PII) เช่น ชื่อสกุล หมายเลขสัญชาติ อีเมล เบอร์โทรศัพท์ รวมถึงประวัติการจองโรงแรม จำนวนผู้เข้าพัก รายชื่อ และราคา อย่างไรก็ตามข้อมูลที่น่าเป็นห่วงที่สุดก็คือข้อมูลทางการเงิน อย่างบัตรเครดิต/เดบิต หมายเลข CVV และวันหมดอายุ

หลังจากการตรวจสอบพบว่าข้อมูลเหล่านี้เป็นข้อมูลที่ยังใช้งานได้ แต่ข่าวดีก็คือยังไม่มีการเข้าถึงโดยผู้ไม่ได้รับอนุญาต แต่นักวิจัยก็ไม่ได้ยืนยันว่าก่อนการตั้งค่าผิดพลาดมีการเข้าถึงหรือไม่ แต่ในตอนนี้ข้อมูลดังกล่าวได้รับการป้องกันที่ดีแล้ว

หากข้อมูลเหล่านี้หลุดออกไป อาชญากรสามารถใช้พื่อหลอกลวงข้อมูลเพิ่มเติมหรือทำกิจกรรมอันตราย อย่างการทำธุรกรรม โดยที่ไม่รับอนุญาต หรือปลอมแปลงตัวตนเพื่อดำเนินกิจกรรมผิดกฎหมาย หรือแม้กระทั่งนำไปขายในตลาดมืด

ท้ายที่สุดองค์กรจะต้องถูกลงโทษโดยกฎหมาย GDPR เนื่องจากข้อมูลที่ได้รับผลกระทบมีประชากรจากสหภาพยุโรปร่วมอยู่ด้วย

Author: Amer Owaida
Source: https://www.welivesecurity.com/2020/11/10/data-millions-hotel-guests-exposed-leak/
Translated by: Worapon H.

%d bloggers like this: