Un serveur non sécurisé rempli de données personnelles a été découvert sur le Web. Cela expose les informations sensibles de millions de voyageurs, évidemment collectées par un grand groupe hôtelier français.
Des chercheurs en cyberinformation ont découvert « un serveur Elasticsearch non protégé » associé à une interface Kibana sur le web. Ce serveur, accessible à tous sans aucune protection, contenait des données personnelles sur des millions de personnes ayant voyagé dans des hôtels européens.
A lire aussi : Carrefour a subi une cyberattaque – les données de 13 millions de Français en vente sur BreachForums ?
Une chaîne hôtelière à l’origine de la fuite
Comme l’a révélé l’enquête de Cybernews, le serveur comprenait « près de 25 millions d’enregistrements de données » concernant les clients de l’hôtel. Il semblerait que les informations appartiennent à une grande chaîne hôtelière. Les enquêtes indiquent le groupe Honotelun acteur majeur de l’hôtellerie en France et en Europe, qui gère plus de 50 hôtels situés dans les grandes villes.
Alerté par les chercheurs, Honotel n’a pas communiqué sur la situation. Cependant, l’accès au serveur est ont été sécurisés peu après la découverte de Cybernews. Il n’est plus possible de consulter les données personnelles des clients.
A lire aussi : Cette fuite de données révèle que 3 000 applications espionnent vos déplacements
Quelles données sensibles ont été exposées ?
Les données personnelles exposées par inadvertance comprennent les noms, adresses e-mail, numéros de téléphone, dates de naissance, codes de pays, langues parlées, informations sur les visites d’hôtels, détails des séjours (y compris l’heure d’arrivée, le nombre de nuits réservées, le prix payé et le nombre de clients), les points de fidélité accumulés, et les identifiants de propriété, c’est à dire des codes uniques attribués à chaque hôtelier de l’établissement. Grâce à l’interface Kibana, il était possible de visualiser et d’explorer les données stockées, par exemple pour rechercher un individu en particulier.
C’est évidemment un désastre en matière de vie privée et de confidentialité. De plus, ces informations peuvent être exploitées par des cybercriminels. En utilisant des données exposées, les pirates peuvent concevoir attaques de phishing particulièrement convaincants, ou orchestrer des tentatives d’usurpation d’identité.
À l’heure actuelle, rien n’indique que des cybercriminels ont accédé aux données exposées. Comme le souligne le rapport, le RGPD (Règlement Général sur la Protection des Données) impose aux entreprises de signaler toute violation de données dans un délai de 72 heures. En cas de violation, le groupe aurait donc prévenu les autorités. Évidemment, il est toujours possible que l’information ait été consultée sans que personne ne s’en rende compte.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google News et WhatsApp.
Source :
Cyberactualité