Al identificar el inconveniente se notificó a la compañía responsable y desde entonces los datos se aseguraron correctamente.
ESET alerta que por una indebida configuración de un servidor en la nube, perteneciente a una plataforma de reservas, quedó expuesta de manera pública la información personal de millones de huéspedes, como nombres completos, números de identificación nacional y datos de tarjetas de crédito.
La información estaba almacenada en un bucket de Amazon Web Services; perteneciente a una empresa con sede en España que vende software de gestión hotelera. La exposición de esta información, reportada por Website Planet, se originó en el software Channels Manager de la empresa; el cual es utilizado por los hoteles para automatizar el estado de sus vacantes en varios sitios web como Expedia, Booking.com, Agoda, entre otras.
En total los datos comprendían más de 10 millones de archivos de registro, incluida información que se remonta al año 2013. Al identificar el inconveniente se notificó a Amazon Web Services y desde entonces los datos se aseguraron correctamente.
Cabe señalar que las empresas que incumplan las leyes de protección de datos, en particular el Reglamento general de protección de datos (GDPR) de la Unión Europea, pueden enfrentar graves consecuencias por fallas en la privacidad y la seguridad.
“La cantidad y variedad de registros expuestos ofrece a los cibercriminales material que puede ser utilizado para realizar todo tipo de actividad maliciosa. Los huéspedes del hotel podrían ser víctimas de robo de identidad, ataques de phishing y de otros tipos de ataque de ingeniería social, e incluso de fraude financiero. Sin embargo, los cibercriminales no tienen porque abusar de los datos ellos mismos; ya que pueden vender esta información en la dark web“, comentó Camilo Gutiérrez Amaya, Jefe del Laboratorio de ESET Latinoamérica.
