Informe: la filial d’AccorHotels exposa hotels i viatgers en fuites massives de dades


Dirigit per Noam Rotem i Ran Locar, l’equip investigador de vpnMentor va descobrir un incompliment de dades pertanyent al grup Gekko, filial d’Accor Hotels. 

Amb seu a França, el Grup Gekko és a líder en la plataforma europea de reserves d’hotels B2B que també posseeix diverses marques d’hostaleria més petites. 

Aquests inclouen Teldar Travel & Infinite Hotel, les dues marques més exposades a la base de dades descoberta pel nostre equip. No obstant això, també es van exposar algunes dades d’altres marques del Grup Gekko. 

La base de dades en qüestió era enorme, que conté més d’una terabyte de dades. Inclou dades de les marques del grup Gekko i dels seus clients, així com llocs web i plataformes externes amb els quals es comuniquen els seus sistemes, com Booking.com.

Aquest incompliment representa a greus salts en seguretat de dades per part del grup Gekko i de les seves filials, comprometent la privacitat dels seus clients, clients, AccorHotels i els propis negocis.

Perfil de l’empresa del grup Gekko

Fundat el 2010 i amb seu a França, el grup Gekko treballa principalment al mercat de l’hostaleria europeu, però té oficines a tot el món. Una plataforma de reserves d’hotels B2B, també posseeix moltes marques més petites. Dins de totes aquestes marques, Gekko Group té una base de clients combinada de 600.000 hotels a tot el món, amb interessos en viatges corporatius, viatges de lleure, inventaris d’hotels i distribució de dades.

El 2017, AccorHotels – la companyia d’hostaleria més gran d’Europa i la sisena més gran del món – va comprar Gekko Group. En aquell moment, el grup Gekko tenia un valor de 117 milions de dòlars.

Teldar Travel

Propietat del grup Gekko, Teldar Travel és un sistema europeu de reserves d’hotels B2B construït per a agents de viatges. La plataforma afirma connectar més de 14.000 agents de viatges amb 1.000.000 de proveïdors d’allotjament a tot el món, així com opcions de transport.

Això ajuda als agents de viatges a reservar i gestionar allotjament, transport i altres activitats per als seus clients en un procés racionalitzat.

Hotels infinits 

També és propietat del grup Gekko, Infinite Hotels gestiona la distribució de dades d’inventaris i reserves a l’engròs relacionats amb proveïdors d’allotjament en diverses plataformes en línia relacionades amb viatges.

Cronologia del descobriment i la reacció del propietari

De vegades, l’abast d’un incompliment de dades i el propietari de les dades són evidents i el problema es resol ràpidament. Però són rares aquestes èpoques. Molt sovint necessitem dies d’investigació per entendre què hi ha en joc o qui està filtrant les dades.

Comprendre un incompliment i el que hi ha en joc requereix una atenció i un temps especials. Treballem intensament per publicar informes precisos i de confiança, assegurant que tothom que els llegeixi entengui la seva serietat.

Algunes parts afectades neguen els fets, prescindint de la nostra investigació o fent-ne constància. Per tant, hem de ser exhaustius i assegurar-nos que tot el que trobem és correcte i cert.

En aquest cas, la base de dades contenia fitxers pertanyents a nombroses marques del grup Gekko i plataformes externes. Al principi, no estava clar a quina marca pertanyia la base de dades. Amb dades procedents de nombroses fonts, l’equip va haver de fer referència entre dades amb diferents marques per assegurar-se que coincidissin totes. 

Un cop vam confirmar Gekko Group com a propietari de la base de dades, vam intentar contactar amb AccorHotels i el seu responsable de privadesa de dades per notificar-los de l’incompliment i ajudar a resoldre el problema. 

Quan això va fallar, el nostre equip va contactar directament al grup Gekko, així com el seu oficial GDPR. 

Encara no rebem cap resposta de AccorHotels o del Grup Gekko, vam contactar amb la seva companyia d’allotjament i, eventualment, amb la Comissió Nacional d’Informació i Des Llibertat (CNIL) – l’organisme regulador independent de França per a la seguretat de les dades i la privadesa..

Finalment, el 13 de novembre, Després d’una setmana de missatges de correu electrònic enviats, vam rebre una resposta de AccorHotels preguntant-nos sobre la filtració. Gairebé immediatament després s’havia tancat. Hem rebut una nota d’agraïment de AccorHotels, que confirma el tancament de la fuga. També van informar Gekko Group en conseqüència.

  • Data de descoberta: 7/11
  • Data de venda dels venedors: 7/11
  • Data del segon intent de contacte (si escau): 11/11
  • Data de resposta: 13/11
  • Data d’acció:13/11

Exemples de dades exposades

Allotjat a França en servidors pertanyents a OVH SA, la base de dades compromesa era enorme, amb aproximadament 1 TB de dades. 

Tot i que les dades pertanyien a AccorHotels – a través de la seva propietat del grup Gekko -, provenien de diferents negocis del grup Gekko. El gruix de les dades prové de dues fonts: Teldar Travel & Hotels infinits.

Com que les marques del grup Gekko compleixen funcions molt diferents, hi ha una gran varietat de tipus de dades al qual va accedir el nostre equip, entre les quals hi ha:

  • Reserves d’hotels i transports
  • Detalls de la targeta de crèdit
  • Informació d’identificació personal (PII) de diverses parts
  • Iniciar sessió de les credencials de comptes de client a les plataformes del grup Gekko
  • etc.

Com a aquests negocis interactuen amb moltes plataformes externes de la indústria de viatges i hostaleria, la base de dades també contenia dades procedents de plataformes fora del paraigua del Grup Gekko.

Això va exposar hotels, agències de viatges i clients de tot el món, molts dels quals no tenien cap relació directa amb el grup Gekko ni les seves marques. 

El nostre equip va veure la base de dades entrades en nombrosos idiomes, procedents de molts països diferents, majoritàriament a Europa. Inclouen ciutadans dels països següents:

  • Espanya 
  • El regne unit
  • Holanda 
  • Portugal 
  • França
  • Bèlgica
  • Itàlia
  • Israel

Reserves de viatges & PII

La majoria de les dades que vam veure provenien de dues plataformes del grup Gekko: Teldar Travel i Infinite Hotel. Les dues plataformes serveixen funcions separades relacionades amb les reserves i dades d’allotjament. 

Tenint en compte la seva funció de plataforma de reserves d’agents de viatges, les entrades a la base de dades relacionades amb les reserves d’allotjament i transport provenien majoritàriament de Teldar Travel. 

Sempre que un agent de viatges utilitzava la plataforma per fer una reserva per a un client, es registrava una entrada a la base de dades del grup Gekko.

Les dades exposades en aquestes reserves van incloure:

  • Noms complets
  • Adreces de correu electrònic
  • Adreces domèstiques
  • PII de nens 
  • Dades de viatge
  • Hotels de destinació
  • Detalls de la reserva (núm. De convidats, tipus d’habitacions, etc.)
  • Preu de les estades
  • Dades de plataformes de reserves externes (és a dir, Booking.com)

Perquè Teldar Travel interactua amb molts altres allotjaments i plataformes de viatges, la base de dades també contenia quantitats importants de dades de fonts externes. 

Les plataformes externes les dades de les quals es van exposar a causa de la interacció amb plataformes del grup Gekko incloses:

  • Occius – Plataforma de viatges espanyola
  • Infra – agència creativa francesa
  • Smile: agència francesa d’experiència digital i desenvolupament web
  • Mondial Assistance – Plataforma polonesa de viatges
  • Selectour.com – agència de viatges en línia francesa
  • Booking.com: plataforma internacional de reserves d’hotels
  • Hotelbeds.com – Plataforma internacional de reserves d’hotels

A continuació, es mostra un exemple de reserva feta a través de Booking.com, exposant la PII dels clients.

A part de les reserves d’hotel, les dades exposades també incloïen altres formes de reserves basades en viatges i hostaleria. Inclouen bitllets a Eurodisney, trasllats de clients entre els hotels i aeroports, excursions i visites i entrades per al tren Eurostar.

Detalls financers exposats

Juntament amb les dades de PII exposades, moltes entrades contenien factures que exposaven dades financeres dels agents de viatges i els seus clients.

La base de dades contenia factures adjuntes a determinades reserves, realitzades mitjançant targetes de crèdit pertanyents a agents i / o clients. Inclouen targetes de crèdit regulars, virtuals i de prepagament.

A continuació es mostra un exemple de reserva realitzada a través de Teldar Travel, amb els detalls de la targeta de crèdit redactats.

Credencials d’accés al compte

Durant la seva investigació, el nostre equip va veure milers de contrasenyes de text senzill enllaçades amb comptes a les plataformes del grup Gekko. 

En teoria, això ens podria haver permès Inicieu la sessió als comptes privats i feu algunes accions, inclosos:

  • Reserva al crèdit del compte 
  • Cancel·lació de les reserves existents 
  • Accés a les factures 
  • Moltes més possibilitats

Entre les parts afectades en l’incompliment de dades, hi havia l’Organització Mundial de la Salut. Els nostres investigadors van veure els noms d’usuari i les contrasenyes del compte OMS a Teldar Travel, donant-los accés al gran compte de crèdit de l’OMS i al pressupost de viatges de la plataforma..

Impacte de l’incompliment de dades

Per reiterar, es tracta d’una gran quantitat de dades a exposar. Representa un greu salt en els protocols de seguretat de dades del grup Gekko i les seves filials, amb greus implicacions per a moltes persones afectades. 

Per a Gekko Group i AccorHotels

Per a dues empreses de les seves mides i quotes de mercat respectives, El grup Gekko i AccorHotels haurien de tenir una seguretat de dades més sòlida. 

Si exposem una quantitat tan gran de dades sensibles, probablement s’enfrontaran a preguntes greus sobre com ha passat això i les seves polítiques de seguretat de dades més àmplies per a totes les marques que posseeixen.. 

La seguretat i la privadesa de les dades són les preocupacions més importants per a tots els consumidors en línia. Qualsevol empresa que exposi els clients al risc tindrà problemes seriosos sobre confiança i fiabilitat, perjudicant la seva reputació i perjudicant potencialment els seus ingressos i creixements futurs..

Adquisició del compte 

Des d’una perspectiva pràctica, l’incompliment la base de dades també exposava el Grup Gekko a diverses formes de frau i atac.

Les credencials d’inici de sessió que el nostre equip va veure podrien proporcionar als pirates informàtics accés a comptes d’usuari privats a plataformes de reserva propietat de l’empresa.

Amb aquests, els pirates informàtics podrien entrar en comptes i carregar compres a les targetes de crèdit virtuals emmagatzemades dins, Apuntant-los abans que AccorHotels o Gekko Group puguin cobrar al client les reserves i reserves similars.

Això podria conduir pèrdues greus per a l’empresa.

Acció legal

Amb seu a França, amb molts clients europeus, AccorHotels i Gekko Group estan dins la jurisdicció de la Unió Europea i les seves normes GDPR. Una fuita d’aquesta magnitud obre ambdues empreses a possibles accions legals, incloses multes i plets.

Per a clients del grup Gekko & Les agències de viatges

Per a les empreses que utilitzen el programari propietari del grup Gekko, també és preocupant la presa de comptes. En accedir als seus comptes d’usuari i abusar dels seus comptes de crèdit, els pirates informàtics també causarien danys importants a aquestes empreses molt més petites. 

Encara que fos possible, recuperar els fons robats seria un procés llarg i car. 

El contingut de la base de dades també podria ajudar els pirates informàtics i els ciberdelinqüents a dirigir-se a les mateixes empreses d’altres maneres. Utilitzar la informació i accessos exposats, podrien crear campanyes de phishing efectives o orientar empreses amb diverses formes d’atacs de programari maliciós: programari maliciós, spyware, ransomware i molt més.. 

Hi ha moltes maneres en què es pot atacar una empresa que utilitza les plataformes del grup Gekko, però tots tenen una cosa en comú: serien devastadors per a les empreses dirigides. 

Per als clients dels agents de viatges

Amb una gran quantitat de dades de PII i financeres exposades, els clients d’agents de viatges que utilitzen la plataforma del grup Gekko també són vulnerables a atacs.

La informació que va veure el nostre equip es pot utilitzar de moltes maneres. Una tàctica potencial per als pirates informàtics seria la creació de campanyes eficaços de pesca. Situats com a hotels, agents de reserva o Teldar Travel, els hackers podrien enganyar objectius per revelar informació addicional i utilitzant això per robar-los, envieu programes maliciosos com programari maliciós i programari espia i robin les seves identitats. 

Aquestes campanyes de frau no haurien de ser sofisticades. Atesa la grandària de les dades que s’exposen, fins i tot si només es va atacar amb èxit un nombre reduït d’objectius, els pirates pirates consideren un èxit. 

Assessorament dels experts

Gekko Group podria evitar fàcilment aquesta filtració si haguessin adoptat algunes mesures bàsiques de seguretat per protegir la base de dades. Aquests inclouen, però no es limiten a:

  1. Assegureu els servidors.
  2. Implanta unes regles d’accés adequades.
  3. No deixeu mai un sistema que no requereixi autenticació oberta a Internet.

Qualsevol empresa pot replicar els mateixos passos, sigui quina sigui la seva mida.

Per obtenir una guia més detallada sobre com protegir el vostre negoci, consulteu la nostra guia per protegir el vostre lloc web i el grup Gekko en línia dels pirates informàtics..

Per a clients del grup Gekko

Poseu-vos en contacte amb Gekko Group i assegureu-vos que estan prenent les mesures necessàries per resoldre les possibles vulnerabilitats. 

Mentrestant, us proposem canviar qualsevol contrasenya i nom d’usuari per a una plataforma propietat del grup Gekko. D’aquesta manera s’assegurarà l’accés futur d’actors maliciosos, si les vostres dades foren exposades d’alguna manera. 

Per a una capa addicional de protecció, utilitzar a generador de contrasenyes per crear la contrasenya més segura possible.

També suggerim revisar a fons qualsevol programari i contractistes de tercers feu servir per garantir que segueixen protocols estrictes de seguretat de dades.

Si us preocupa la vostra vulnerabilitat en general, la vulnerabilitat de les dades pot afectar la vostra privadesa i seguretat, llegir el nostre Guia completa de privadesa en línia.

Us mostra les maneres en què els cibercriminals s’orienten als usuaris d’internet i els passos que podeu dur a terme per mantenir-se en seguretat.

Com i per què vam descobrir l’incompliment

L’equip d’investigació vpnMentor va descobrir l’incompliment a la base de dades del grup Gekko com a part d’un enorme projecte de mapeig web. Els nostres investigadors utilitzen exploració portuària per examinar blocs IP concrets i provar forats oberts en sistemes per detectar punts febles. Examinen cada forat per a la filtració de dades. 

Quan troben un incompliment de dades, utilitzen tècniques expertes per verificar la identitat del grup Gekko. A continuació, alertem a l’empresa de l’incompliment. Si és possible, també avisarem els afectats per l’incompliment.

El nostre equip ha pogut accedir a aquest servidor perquè estava completament segur i sense xifrar. 

La companyia utilitza una base de dades Elasticsearch, que normalment no està dissenyada per a l’ús de la URL. Tot i això, vam poder accedir-hi a través del navegador i manipular els criteris de cerca d’URL per exposar esquemes.    

L’objectiu d’aquest projecte de mapeig web és ajudar a fer que Internet sigui més segura per a tots els usuaris. Com a pirates informàtics ètics, estem obligats a informar una empresa quan descobrim defectes en la seva seguretat en línia. 

Tanmateix, aquesta ètica també significa també responsabilitzem el públic. Això és especialment cert quan l’incompliment de dades de les empreses conté una quantitat tan gran d’informació privada i financera. 

Quant a nosaltres i informes anteriors

vpnMentor és el lloc web de revisió VPN més gran del món. El nostre laboratori d’investigació és un servei de promoció professional que s’esforça a ajudar la comunitat en línia a defensar-se de les amenaces cibernèriques alhora que educa les organitzacions a la protecció de les dades dels seus usuaris. En el passat, hem descobert un enorme incompliment de dades exposant les dades de milions de ciutadans ecuatorians. També vam revelar que una bretxa a Biostar 2 comprometia les dades biomètriques de més d’un milió de persones. També pot ser que vulgueu llegir el nostre Informe de filtracions de VPN i les estadístiques de privadesa de dades.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map