Lo hanno scoperto i ricercatori di cybernews “un server Elasticsearch non protetto” associato a un’interfaccia Kibana sul web. Questo server, accessibile a chiunque senza alcuna protezione, conteneva dati personali su milioni di persone che avevano viaggiato negli hotel europei.
Leggi anche: Carrefour ha subito un attacco informatico – i dati di 13 milioni di francesi in vendita su BreachForums?
Una catena alberghiera all’origine della fuga di notizie
Come ha rivelato l’indagine di Cybernews, il server era incluso “quasi 25 milioni di record di dati” riguardanti gli ospiti dell’hotel. Sembra che le informazioni appartengano ad una grande catena alberghiera. Le indagini indicano il gruppo Honoteluno dei principali attori del settore alberghiero in Francia e in Europa, che gestisce più di 50 hotel situati nelle principali città.
Allertata dai ricercatori, Honotel non ha comunicato la situazione. Tuttavia, l’accesso al server ha furono messi in sicurezza poco dopo la scoperta da Cybernews. Non è più possibile visualizzare i dati personali dei clienti.
Leggi anche: Questa fuga di dati rivela che 3.000 app spiano i tuoi movimenti
Quali dati sensibili sono stati esposti?
I dati personali inavvertitamente esposti includono nomi, indirizzi e-mail, numeri di telefono, date di nascita, prefissi nazionali, lingue parlate, informazioni sulle visite in hotel, dettagli soggiorni (incluso orario di arrivo, numero di notti prenotate, prezzo pagato e numero di ospiti), punti fedeltà accumulati e identificatori di proprietà, ovvero codici univoci assegnati a ciascuna struttura albergatrice. Attraverso l’interfaccia Kibana era possibile visualizzare ed esplorare i dati memorizzati, ad esempio per cercare un particolare individuo.
Questo è ovviamente un disastro quando si tratta di privacy e riservatezza. Inoltre, queste informazioni possono essere sfruttate dai criminali informatici. Utilizzando i dati esposti, gli hacker possono progettare attacchi di phishing particolarmente convincenti, né orchestrare tentativi di furto di identità.
Al momento non ci sono prove che indichino che i criminali informatici abbiano avuto accesso ai dati esposti. Come evidenzia il rapporto, il GDPR (Regolamento generale sulla protezione dei dati) impone alle aziende di segnalare tutte le violazioni dei dati entro 72 ore. In caso di violazione il gruppo avrebbe quindi avvisato le autorità. Ovviamente è sempre possibile che si sia avuto accesso alle informazioni senza che nessuno se ne accorgesse.
???? Per non perdere nessuna novità di 01net, seguici su Google News e WhatsApp.
Fonte :
Cibernotizie
