Les chercheurs de Cybernews ont découvert « un serveur Elasticsearch non protégé » associé à une interface Kibana sur la toile. Ce serveur, accessible à n’importe qui sans la moindre protection, contenait des données personnelles au sujet de millions d’individus ayant voyagé dans des hôtels européens.
À lire aussi : Carrefour aurait subi une cyberattaque – les données de 13 millions de Français en vente sur BreachForums ?
Une chaine hôtelière à l’origine de la fuite
Comme l’a révélé l’enquête de Cybernews, le serveur comprenait « près de 25 millions d’enregistrements de données » relatifs à des clients d’hôtels. Il semble que les informations appartiennent à une grande chaine hôtelière. Les investigations pointent vers le groupe Honotel, un acteur majeur de l’hôtellerie en France et en Europe, qui gère plus de 50 hôtels situés dans des grandes villes.
Alerté par les chercheurs, Honotel n’a pas communiqué sur la situation. Cependant, les accès au serveur ont été sécurisés peu après la découverte de Cybernews. Il n’est plus possible de consulter les données personnelles des clients.
À lire aussi : Cette fuite de données révèle que 3 000 apps espionnent vos déplacements
Quelles données sensibles étaient exposées ?
Parmi les données personnelles exposées par mégarde, on trouve les noms, les adresses mail, les numéros de téléphone, les dates de naissance, les codes des pays de provenance, les langues parlées, des informations sur les visites à l’hôtel, les détails des séjours (incluant l’heure d’arrivée, le nombre de nuits réservées, le prix payé et le nombre d’invités), les points de fidélité accumulés, et les identifiants des propriétés, c’est-à-dire les codes uniques attribués à chaque établissement hôtelier. Par le biais de l’interface Kibana, il était possible de visualiser et d’explorer les données stockées, par exemple pour rechercher un individu en particulier.
C’est évidemment une catastrophe en matière de vie privée et de confidentialité. De plus, ces informations peuvent être exploitées par des cybercriminels. En se servant des données exposées, des pirates peuvent mettre au point des attaques de phishing particulièrement convaincantes, ou orchestrer des tentatives d’usurpation d’identité.
Pour le moment, il n’y a aucune preuve indiquant que les données exposées ont été consultées par des cybercriminels. Comme le souligne le rapport, le RGPD (Règlement Général sur la Protection des Données) oblige les entreprises à signaler toutes les fuites de données dans un délai de 72 heures. En cas de violation, le groupe aurait donc prévenu les autorités. Évidemment, il est toujours envisageable que les informations ont été consultées sans que personne s’en soit rendu compte.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Cybernews
