Expedia, Booking, Hotels.com : Des millions de données clients étaient accessibles

CYBERSECURITE Outre des centaines de milliers de données relatives aux cartes de crédit, les noms, adresses mail et détails des réservations de millions de personnes ont pu être accessibles depuis 2013

20 Minutes avec agence

— 

Les données d'utilisateurs de sites de réservation d'hôtels ont été exposées (illustration).
Les données d'utilisateurs de sites de réservation d'hôtels ont été exposées (illustration). — Damian Dovarganes/AP/SIPA

Prestige Software a insuffisamment protégé les données personnelles des utilisateurs de sa plateforme Cloud Hospitality. Celle-ci est utilisée par les grands noms de la réservation d’hôtels en ligne pour mettre à jour en temps réel les disponibilités des chambres. Des centaines de milliers de clients d’Expedia, Booking.com ou encore Hotels.com sont concernés, alerte Website Planet.

Installée à Barcelone, Prestige Software a ainsi stocké dans une base de données Amazon Web Services mal configurée les informations concernant les cartes bancaires de certains utilisateurs. Cette faille de sécurité existe depuis 2013.

Cartes bancaires, adresses mail…

Outre les données relatives aux cartes bancaires, les détails et le coût des réservations ont été potentiellement accessibles à des pirates, tout comme les noms complets, adresses mail, numéros de téléphone et numéros de pièce d’identité des clients.

Les spécialistes en cybersécurité de Web Planet ont toutefois indiqué que rien ne prouvait que des personnes mal intentionnées avaient eu accès à ces données ou les avaient utilisées.

La faille résolue

Si tel était le cas, les pirates pourraient mettre à profit les éléments récupérés sans difficulté pour commettre des vols d’identité, des cyberattaques, des campagnes d’hameçonnage ou des fraudes à la carte de crédit. Des risques de chantage existent également si les clients concernés avaient réservé un séjour hôtelier qu’ils souhaitaient discret.

Les experts ont fait part de leur découverte à Prestige Software et le contenu non sécurisé a été protégé dès le lendemain. Plus de 10 millions de dossiers d’informations représentant un total de 24,4 gigaoctets sont cependant restés accessibles auparavant.