Prestige Software, un gestor de reservas de hotel utilizado por plataformas internacionales como Booking.com, Hotels.com, Hotelbeds o Expedia, ha dejado expuestos datos pertenecientes a millones de clientes en un bucket S3 de Amazon Web Services mal configurado.
Prestige Software——Booking.com,Hotels.com,Hotelbeds或Expedia等国际平台使用的酒店预订管理器,近日因亚马逊网页S3存储程序配置出错而不小心公开了数百万使用者的用户数据。

La compañía de software, ubicada en Barcelona, ha permitido con ello que se filtrasen más de 10 millones de archivos de registro individuales en total -unos 24,4 GB de datos-, según  identificaron investigadores de Website Planet.
根据网站星球(Website Planet,专门测评各种网络服务的平台)的研究人员称,这家位于巴塞罗那的软件公司因此共泄露了超过一千万个单独日志文件,总计大约24.4GB的数据。

Cada uno de estos registros ha dejado expuesta información sensible y de identificación personal: nombres, direcciones de correo electrónico, números de identificación nacional, números de teléfono, información de reservas y detalles de tarjetas de crédito, incluyendo datos como el CVV o la fecha de caducidad.
这些记录中每一个文件都暴露了个人敏感信息:姓名、电子邮件、地址、身份证号码、电话号码、预定信息和信用卡详情信息,包括信用卡的安全码(CVV)。

Los hechos sugieren que la empresa de software almacenaba datos de tarjetas de crédito de agentes de viajes y clientes de hoteles sin ninguna medida de seguridad y, como resultado, se han expuesto online datos personales y financieros que datan de 2013.
事实表明,该软件公司在没有任何安全措施的情况下存储了旅行社和酒店客户的信用卡数据,因此,最早自2013年以来的个人数据和财务数据都已经在网上曝光。

"Cada año, los hoteles y las plataformas de reservas recogen datos sensibles de los consumidores y almacenan la información personal identificable de millones de huéspedes. Para mitigar los riesgos de futuras violaciones de datos y proteger los datos sensibles, las organizaciones de hostelería y otras empresas necesitan tener una visibilidad y un control total sobre sus datos", afirma Anurag Kahol, CTO de Bitglass, compañía experta en ciberseguridad.
“每年,酒店和预定平台都会收集消费者的敏感数据,并存储数百万客户的个人身份信息。为减轻未来数据泄露的风险并对敏感数据进行保护,酒店组织和其他企业们需要对数据有着预见性和可控性,”专业网络安全公司Bitglass的首席技术官阿努拉格·卡霍尔(Anurag Kahol)说。

Kahol recomienda utilizar "soluciones multifacéticas" que aplican el control de acceso en tiempo real, detectan las configuraciones erróneas mediante la gestión de la postura de seguridad en la nube, cifran los datos sensibles en reposo y gestionan el intercambio de datos con partes externas. Asimismo, evitan la fuga de datos.
卡霍尔(Kahol)建议使用“多层次运行方案”,该方案能够让应用进行实时访问控制,通过云数据的安全状况来检测错误配置,对静态敏感数据进行加密以及对同外部交换的数据进行管理。此外,还可以防止数据泄露。

Es con este tipo de sistemas como las organizaciones pueden "garantizar la privacidad y la seguridad de la información de los clientes", subraya Kahol.
卡霍尔(Kahol)强调,通过这种类型的系统,酒店等企业可以“保证客户信息的隐私和安全性。”

No está claro si la información de los clientes afectados se ha usado con intenciones maliciosas. Pero, dado que Prestige Software tiene su sede en Europa y los datos expuestos pertenecen a personas de todo el mundo, incluidos ciudadanos de ciudadanos europeos; la empresa debe prepararse para una fuerte multa y penalización basada en el RGPD.
尚不清楚被泄露的客户信息是否已经被恶意使用。但是,由于Prestige Software位于欧洲,并且公开的数据来自世界各地的人们,包括欧洲公民;所以公司必须准备面临基于GDPR《信息保护总则》条例所开出的高额罚款。

 

ref:

https://www.20minutos.es/noticia/4468290/0/un-fallo-de-seguridad-expone-datos-personales-y-financieros-de-millones-de-clientes-de-booking-y-expedia/

声明:双语文章中,中文翻译仅代表译者个人观点,仅供参考。如有不妥之处,欢迎指正。未经允许,请勿转载