Meer dan tien miljoen creditcardnummers, CCV-codes, paspoortnummers en e-mailadressen van klanten die ooit een hotelkamer of vakantiewoning hebben geboekt op boekingsplatformen als Expedia, Booking.com en Agoda waren zonder enige vorm van bescherming opgeslagen en door iedereen in te zien. Het zou gaan om gevoelige informatie die tot 2013 teruggaat.

Deze gegevens worden beheerd door het Spaanse bedrijf Prestige Software, dat onder de naam Cloud Hospitality een zogenaamd channel management-platform aanbiedt aan websites zoals Expedia, Booking.com en Agoda.

Hotels kunnen daarmee onder meer de beschikbaarheid van hotelkamers doorgeven aan deze boekingsplatformen, zodat bezoekers kunnen zien of er kamers beschikbaar zijn. Deze informatie wordt ook onderling uitgewisseld via dit systeem: boekt iemand bijvoorbeeld een hotelkamer via Expedia, dan is dezelfde kamer niet langer te boeken via Booking.com.

De zogenaamde AWS S3-bucket waar deze data werd opgeslagen, was echter verkeerd geconfigureerd, meldt Tweakers. De gegevens werden zonder enige vorm van beveiliging opgeslagen, waardoor iedereen in theorie naar hartelust kon grasduinen in deze gevoelige data.

Beveiligingsonderzoekers van Website Planet ontdekten het lek en delen een aantal details over het datalek op hun website. De impact en ernst van het datalek wordt omschreven als hoog, en daar zijn meerdere redenen voor.

Om welke boekingsplatformen gaat het?

Dat is niet voor de volledige honderd procent bekend: Prestige Software noemt op de website namelijk niet wie de afnemers van de dienstverlening zijn.

De onderzoekers hebben echter wel vastgesteld dat het om een grote speler in de markt gaat: de grootste boekingsplatformen ter wereld zijn in ieder geval aangesloten en ook gedurende de coronacrisis bleef de boekingsinformatie binnenstromen, blijkt uit een analyse van de data.

Zo stroomden er in de maand augustus 2020 maar liefst 180.000 unieke gegevens binnen in de database, en aangezien het aantal hotelovernachtigen wegens corona een stuk lager is dan gebruikelijk, geeft dit wel iets aan over de omvang.

Website Planet beschikt over aanwijzingen dat het gaat om data van de volgende boekingswebsites:

  • Agoda
  • Amadeus
  • Booking.com
  • Expedia
  • Hotels.com
  • Hotelbeds
  • Omnibees
  • Sabre

Daarnaast zijn er nog andere platformen getroffen. Volgens Website Planet is ieder bij Prestige Software aangesloten platform getroffen, al is het datalek niet de verantwoordelijkheid van de boekingsplatformen zelf.

Om welke gevoelige gegevens gaat het?

Het gaat om 24,4 gigabyte aan data daarin meer meer dan tien miljoen unieke gegevens. Meer speficiek gaat het om de volgende informatie:

Persoonlijke informatie

  • Voor- en achternamen
  • E-mailadressen
  • Paspoortnummers
  • Telefoonnummers

Creditcardgegevens

  • Creditcardnummer
  • Naam van de creditcardhouder
  • CCV-nummer (de verificatiecode van je creditcard, waarmee je betalingen kunt autoriseren)
  • Vervaldatum (maand en jaar)

Betalingsgegevens

  • De totaalprijs van je hotelboeking

Reserveringsgegevens

  • Reserveringsnummer
  • Verblijfdata
  • De prijs van de accomodatie per nacht
  • Aanvullende verzoeken die je als gast hebt gedaan
  • Aantal gasten
  • Namen van alle gasten

Wat is de mogelijke impact van dit datalek voor de getroffen gebruikers?

Het gaat om vele miljoenen gegevens die betrekking hebben op boekingen sinds op zijn vroegst 2013. Hoe lang de verkeerd geconfigureerde database openbaar toegankelijk was, is echter niet bekend. Ook is niet bekend of kwaadwillenden de database daadwerkelijk heeft gestolen of misbruikt. Er is momenteel nog geen bewijs voor, maar het kan niet worden uitgesloten.

Als deze data echter al door hackers is bemachtigd, heeft dat vanwege de gevoeligheid van de gegevens enorme implicaties.

Met je paspoortgegevens kan bijvoorbeeld identiteitsfraude worden gepleegd, en met je creditcardgegevens kunnen kwaadwillenden op jouw kosten aankopen doen. Jouw contactgegevens maken je daarnaast  kwetsbaar voor allerlei scamsphishing en malware.

Mocht je een hotel hebben geboekt om een avontuurtje te beleven met een buitenechtelijke partner, dan kan deze informatie worden misbruikt voor chantage. Duidelijke zaak: de impact van het datalek kan gigantisch zijn.

In theorie kunnen kwaadwillenden ook jouw hotelreserving manipuleren: de aankomst- en vertrekdatum wordt naar voren geschoven en op jouw kosten vieren oplichters vakantie. Deze mogelijkheid is echter wat vergezocht, niet in de laatste plaats vanwege alle reisbeperkingen die momenteel van kracht zijn in verband met de coronapandemie. 

Wat moet ik nu doen en wat moet ik weten?

Prestige Software zit zoals gesteld in Spanje en dient zich om die reden aan Europese wet- en regelgeving omtrent het melden van datalekken te houden. Dat houdt niet alleen in dat direct betrokkenen persoonlijk moeten worden geïnformeerd, Prestige Software dient ook te zorgen dat de kwetsbaarheid wordt verholpen.

Doen ze dit niet? Dan dreigen er rechtszaken en enorme boetes. Ook zal het bedrijf praktisch alle klandizie van de aangesloten boekingsplatformen verliezen.

Heb jij ooit geboekt via één van de hierboven genoemde boekingsplatformen? Hou dan je mail in de gaten: nu het nieuws over het datalek naar buiten is gekomen, duurt het vermoedelijk niet lang meer voordat direct betrokkenen persoonlijk op de hoogte worden gesteld.

Daarnaast kan het raadzaam zijn om je creditcardafschriften te raadplegen op abnormale transacties, al had je het mogelijk al eerder in de gaten gehad als je inderdaad getroffen was.

Bron: Tweakers.net / Website Planet