Datos confidenciales de millones de huéspedes de hoteles a nivel mundial quedaron expuestos

ESET, compañía líder en detección proactiva de amenazas, alerta que, por una mala configuración de un servidor en la nube perteneciente a una popular plataforma de reservas, quedó expuesta de manera pública la información personal de millones de huéspedes, como nombres completos, números de identificación nacional y datos de tarjetas de crédito.
Los datos estaban almacenados en un bucket de Amazon Web Services (AWS) S3 perteneciente a una empresa con sede en España que vende software de gestión hotelera. La exposición de esta información, reportada por Website Planet, se originó en el software Channels Manager de la empresa, el cual es utilizado por los hoteles para automatizar el estado de sus vacantes en varios sitios web para la reserva de alojamiento. Dado que la plataforma se utiliza para conectarse con los sitios web de reservas, algunos de los datos provienen de conocidas agencias de viajes online, como pueden ser Expedia, Booking.com y Agoda, entre otras, aunque es importante mencionar que no son las responsables de la exposición de los datos.
En total los datos comprenden más de 10 millones de archivos de registro, incluida información que se remonta al año 2013. Entre los datos había una gran cantidad de información de identificación personal (PII), como los nombres completos de los huéspedes, números de identificación nacional, direcciones de correo electrónico, números de teléfono, así como detalles como el número de reserva, fechas, número de invitados y sus nombres, y el precio pagado. Además, contenía datos financieros valiosos, como números de tarjetas de crédito, el nombre del titular de la tarjeta, códigos de verificación de la tarjeta de crédito (CVV) y fecha de vencimiento.

Si bien actualmente no hay evidencia de que ningún actor malintencionado haya obtenido acceso a los datos expuestos, aun no se puede garantizar que nadie haya accedido a los datos previo a ser descubierto el servidor mal configurado. Al identificar el inconveniente se notificó a Amazon Web Services y desde entonces los datos se aseguraron correctamente.

Las empresas que incumplan las leyes de protección de datos, en particular el Reglamento general de protección de datos (GDPR) de la Unión Europea, pueden enfrentar graves consecuencias por fallas en la privacidad y la seguridad.