Otel rezervasyon sitelerinden kullanıcı verileri ifşa oldu

İspanya merkezli Prestige Software isimli firmanın hassas verileri korumasız, genele açık bir şekilde sakladığı ortaya çıktı.

SİBER GÜVENLİK 07.11.2020, 19:48
Otel rezervasyon sitelerinden kullanıcı verileri ifşa oldu

Dünya genelinde yüksek kullanım oranına sahip olan rezervasyon siteleri de dahil olmak üzere bazı sitelerdeki veriler ortaya çıktı. Yayınlanan rezervasyon siteleri arasında sektörün en büyükleri arasında gösterilen Booking.com ve Hotels.com da bulunuyor.

İspanya merkezli olarak faaliyet gösteren Prestige Software isimli firmanın, müşterilere ait özel ve finansal verileri dünya genelinde ifşa ederken keşfedildiği belirtildi.

Özel bilgiler herkese açık şekilde saklanıyordu

Söz konusu olay da korumasız bir şekilde barındırılan bir veritabanından ortaya çıktı. Prestige Softaware firmasına ait olan bir AWS S3 klasörünün, herhangi bir koruma olmadan genel erişime açık bırakıldığı kaydedildi.

Söz konusu durumun açığa çıkmasından sonra araştırmacılar paketi analiz etti. Böylelikle toplamda 10 milyondan fazla dosyanın olduğu, boyutun ise 24.4 GB civarında olduğu söylendi.

Firmanın, sektördeki en büyük firmalar dahil birçok firmaya, oda kullanılabilirliğini yöneten ve “Cloud Hospitality” ismi verilen kanal yönetim platformu sağladığı aktarıldı.

Açığa çıkan otel rezervasyon siteleri için Booking.com, Hotels.com, Expedia, Agoda, Amadeus, Hotelbeds, Omnibees ve Sabre isimleri telaffuz edildi.

Yazılım firmasının herhangi bir güvenlik önlemi almadan seyahat acenteleri ve müşterilerin kredi kartları bilgilerini sakladığı belirtildi. Böylelikle günümüzden 2013 yılına kadar olan veriler ifşa edilmiş oldu.

Konuyla ilgili araştırma yapan Website Planet araştırmacısı Mark Holden kullanıcıların ad – soyad, NIC (Ağ Arayüz Kartı) bilgileri, e-posta adresi, telefon numarası, otel rezervasyon numarası, tarih ve konaklama süresi bilgilerinin açığa çıktığını söyledi.

Holden açıklamasında AWS S3 klasörü ile sistemi kullanan her sitenin verilerinin açığa çıktığını aktardı.

Müşterilerin verilerinin kötü amaçlı kişilerin eline geçip geçmediği veya ne kadarının geçtiği belli değil.

sisli