Các nhà nghiên cứu của Cybernews đã phát hiện ra một "máy chủ Elasticsearch không được bảo vệ"có liên quan đến giao diện Kibana trên web. Máy chủ này, bất kỳ ai cũng có thể truy cập mà không cần bất kỳ biện pháp bảo vệ nào, chứa dữ liệu cá nhân của hàng triệu người đã từng đến các khách sạn ở châu Âu.
Theo tiết lộ từ cuộc điều tra của Cybernews, máy chủ chứa "gần 25 triệu bản ghi dữ liệu" liên quan đến khách lưu trú tại khách sạn. Có vẻ như thông tin này thuộc về một chuỗi khách sạn lớn. Các cuộc điều tra chỉ ra tập đoàn Honotel, một đơn vị lớn trong ngành khách sạn tại Pháp và Châu Âu, quản lý hơn 50 khách sạn tại các thành phố lớn.
Được các nhà nghiên cứu cảnh báo, Honotel vẫn chưa thông báo về tình hình. Tuy nhiên, quyền truy cập vào máy chủ đã được bảo mật ngay sau khi Cybernews phát hiện ra. Không còn có thể xem dữ liệu cá nhân của khách.
Trong số các dữ liệu cá nhân vô tình bị lộ có tên, địa chỉ email, số điện thoại, ngày sinh, mã quốc gia, ngôn ngữ sử dụng, thông tin về các chuyến thăm khách sạn, thông tin chi tiết về thời gian lưu trú (bao gồm thời gian đến, số đêm đã đặt, giá đã thanh toán và số lượng khách), điểm khách hàng thân thiết đã tích lũy và mã định danh cơ sở lưu trú, tức là mã duy nhất được chỉ định cho từng cơ sở khách sạn. Thông qua giao diện Kibana, có thể xem và khám phá dữ liệu được lưu trữ, ví dụ như tìm kiếm một cá nhân cụ thể.
Rõ ràng đây là một thảm họa về mặt quyền riêng tư và bảo mật. Ngoài ra, thông tin này có thể bị tội phạm mạng khai thác. Sử dụng dữ liệu bị lộ, tin tặc có thể phát triển các cuộc tấn công lừa đảo đặc biệt thuyết phục hoặc dàn dựng các nỗ lực đánh cắp danh tính.
Hiện tại không có bằng chứng nào cho thấy dữ liệu bị lộ đã bị tội phạm mạng truy cập. Như báo cáo chỉ ra, GDPR (Quy định bảo vệ dữ liệu chung) yêu cầu các công ty phải báo cáo tất cả các vi phạm dữ liệu trong vòng 72 giờ. Trong trường hợp có vi phạm, nhóm sẽ phải thông báo cho chính quyền. Tất nhiên, vẫn có khả năng thông tin đã bị truy cập mà không ai nhận ra.
Nguồn: Cybernews
Một chuỗi khách sạn là nơi xảy ra vụ rò rỉ
Theo tiết lộ từ cuộc điều tra của Cybernews, máy chủ chứa "gần 25 triệu bản ghi dữ liệu" liên quan đến khách lưu trú tại khách sạn. Có vẻ như thông tin này thuộc về một chuỗi khách sạn lớn. Các cuộc điều tra chỉ ra tập đoàn Honotel, một đơn vị lớn trong ngành khách sạn tại Pháp và Châu Âu, quản lý hơn 50 khách sạn tại các thành phố lớn.
Được các nhà nghiên cứu cảnh báo, Honotel vẫn chưa thông báo về tình hình. Tuy nhiên, quyền truy cập vào máy chủ đã được bảo mật ngay sau khi Cybernews phát hiện ra. Không còn có thể xem dữ liệu cá nhân của khách.
Dữ liệu nhạy cảm nào đã bị lộ?
Trong số các dữ liệu cá nhân vô tình bị lộ có tên, địa chỉ email, số điện thoại, ngày sinh, mã quốc gia, ngôn ngữ sử dụng, thông tin về các chuyến thăm khách sạn, thông tin chi tiết về thời gian lưu trú (bao gồm thời gian đến, số đêm đã đặt, giá đã thanh toán và số lượng khách), điểm khách hàng thân thiết đã tích lũy và mã định danh cơ sở lưu trú, tức là mã duy nhất được chỉ định cho từng cơ sở khách sạn. Thông qua giao diện Kibana, có thể xem và khám phá dữ liệu được lưu trữ, ví dụ như tìm kiếm một cá nhân cụ thể.
Rõ ràng đây là một thảm họa về mặt quyền riêng tư và bảo mật. Ngoài ra, thông tin này có thể bị tội phạm mạng khai thác. Sử dụng dữ liệu bị lộ, tin tặc có thể phát triển các cuộc tấn công lừa đảo đặc biệt thuyết phục hoặc dàn dựng các nỗ lực đánh cắp danh tính.
Hiện tại không có bằng chứng nào cho thấy dữ liệu bị lộ đã bị tội phạm mạng truy cập. Như báo cáo chỉ ra, GDPR (Quy định bảo vệ dữ liệu chung) yêu cầu các công ty phải báo cáo tất cả các vi phạm dữ liệu trong vòng 72 giờ. Trong trường hợp có vi phạm, nhóm sẽ phải thông báo cho chính quyền. Tất nhiên, vẫn có khả năng thông tin đã bị truy cập mà không ai nhận ra.
Nguồn: Cybernews