Poročilo: Podružnica AccorHotels izpostavi hotele in popotnike množičnim puščanjem podatkov

Raziskovalna skupina vpnMentorja, ki sta jo vodila Noam Rotem in Ran Locar, je odkrila kršitev podatkov, ki pripada Gekko Group, hčerinsko družbo Accor Hotels. 

S sedežem v Franciji je Gekko Group a vodilna evropska B2B platforma za rezervacije hotelov ki ima tudi več manjših blagovnih znamk gostinstva. 

Sem spadajo Teldar Travel & Infinite Hotel, dve blagovni znamki, ki sta bili najbolj izpostavljeni v bazi podatkov, ki jo je odkrila naša ekipa. Izpostavljeni pa so bili tudi nekateri podatki drugih blagovnih znamk skupine Gekko. 

Zadevna baza podatkov je bila ogromna in je vsebovala več kot 1 terabajt podatkov. Sem spadajo tudi podatki blagovnih znamk Gekko Group in njihovih strank zunanja spletna mesta in platforme, s katerimi komunicirajo njihovi sistemi, na primer Booking.com.

Ta kršitev pomeni a huda izguba varnosti podatkov s strani skupine Gekko in njenih odvisnih družb, ogrožajo zasebnost svojih strank, strank, AccorHotels in samih podjetij.

Profil podjetja Gekko Group

Skupina Gekko, ustanovljena leta 2010, s sedežem v Franciji, deluje predvsem na evropskem gostinskem trgu, ima pa pisarne po vsem svetu. B2B platforma za rezervacije hotelov, ima tudi številne manjše blagovne znamke. Znotraj vseh teh blagovnih znamk, Gekko Group ima skupno svetovno bazo 600.000 hotelov po vsem svetu, z zanimanjem za korporativna potovanja, prosti čas, hotelske zaloge in distribucijo podatkov.

Leta 2023 je AccorHotels – največje gostinsko podjetje v Evropi in šesto največje na svetu – kupilo Gekko Group. Skupina Gekko je bila takrat ocenjena na 117 milijonov dolarjev.

Teldar Travel

Teldar Travel je v lasti Gekko Group evropskega B2B sistema rezervacij hotelov, zgrajenega za potovalne agente. Platforma trdi, da povezuje več kot 14.000 potovalnih agentov z 1.000.000 ponudniki nastanitve po vsem svetu, pa tudi možnosti prevoza.

To pomaga turističnim agentom rezervirati in upravljajo nastanitev, prevoz in različne druge dejavnosti za svoje stranke v racionaliziranem postopku.

Neskončni hoteli 

Tudi v lasti Gekko Group, Infinite Hotels upravljajo z veleprodajno distribucijo podatkov o zalogah in rezervacijah v zvezi s ponudniki nastanitev na različnih spletnih platformah, povezanih s potovanji.

Časovni trak odkritja in reakcije lastnika

Včasih sta obseg kršitve podatkov in lastnik podatkov očitna in težava hitro odpravljena. A v teh časih so redki. Najpogosteje potrebujemo dneve preiskave, preden razumemo, kaj je v igri ali kdo pušča podatke.

Za razumevanje kršitve in kaj je sporno je potrebna skrbna pozornost in čas. Trudimo se objavljati natančna in zaupanja vredna poročila, s katerimi zagotovimo, da vsi, ki jih berejo, razumejo njihovo resnost.

Nekatere prizadete stranke zanikajo dejstva, ne upoštevajo naše raziskave ali zmanjšujejo njen vpliv. Torej, moramo biti temeljiti in poskrbeti, da je vse, kar bomo našli, pravilno in resnično.

V tem primeru, zbirka podatkov je vsebovala datoteke številnih blagovnih znamk in zunanjih platform Gekko Group. Na začetku ni bilo jasno, katera blagovna znamka je zbirka podatkov pripadala. S podatki, ki izvirajo iz številnih virov, je morala ekipa prekrižati podatke različnih znamk, da so se prepričali, ali se vsi ujemajo. 

Ko smo Gekko Group potrdili kot lastnika baze podatkov, poskušali smo se obrniti na AccorHotels in njihovega uradnika za zasebnost podatkov da jih obvesti o kršitvi in ​​pomaga rešiti težavo. 

Ko to ni uspelo, naša ekipa je stopila neposredno v Gekko Group, kot tudi njihov častnik GDPR. 

Še vedno nismo prejeli odgovorov s strani AccorHotels ali Gekko Group, smo stopili v stik z njihovim gostiteljskim podjetjem in sčasoma s Komisijo Nationale de l’Informatique et des Libertés (CNIL) – neodvisnim francoskim regulativnim organom za varnost podatkov in zasebnost.

Končno 13. novembra, po enem tednu pošiljanja e-poštnih sporočil smo od AccorHotels prejeli odgovor na vprašanje puščanja. Skoraj takoj za tem je bil zaprt. AccorHotels smo pravilno prejeli zahvalo, ki potrjuje zapiranje puščanja. O tem so tudi obvestili Gekko Group.

• Datum odkritja: 11.11
• Datum stika s prodajalci: 11.11
• Datum drugega poskusa stika (če je primerno): 11. 11.
• Datum odgovora: 13/11
• Datum ukrepanja:13/11

Primeri izpostavljenih podatkov

V Franciji je gostoval na strežnikih, ki pripadajo OVH SA, ogrožena baza podatkov je bila ogromna in je vsebovala približno 1TB podatkov. 

Medtem ko so podatki pripadali AccorHotels – prek njihovega lastništva nad Gekko Group – so izvirali iz številnih različnih podjetij v skupini Gekko. Večina podatkov je prišla iz dveh virov: Teldar Travel & Neskončni hoteli.

Ker blagovne znamke Gekko Group opravljajo zelo različne funkcije, je bilo veliko podatkov o naših podatkih dostopnih, vključno s:

• Rezervacije za hotel in prevoz
• Podrobnosti kreditne kartice
• Osebne informacije (PII) različnih strank
• Poverilnice za prijavo za račune strank na platformah v lasti Gekko Group
• itd.

Kot ta podjetja sodelujejo z mnogimi zunanjimi platformami v potovalni in gostinski panogi, zbirka podatkov je vsebovala tudi podatke, ki izvirajo iz platform zunaj dežnika Gekko Group.

Ta je izpostavil hotele, potovalne agencije in njihove stranke po vsem svetu, od katerih mnogi niso imeli neposrednega odnosa s Gekko Group ali njenimi blagovnimi znamkami. 

Naša ekipa si je ogledala bazo podatkov vpisi v številnih jezikih, ki izvirajo iz mnogih različnih držav, večinoma v Evropi. Sem so bili vključeni državljani naslednjih držav:

• Španija 
• Združeno kraljestvo
• Nizozemska 
• Portugalska 
• Francija
• Belgija
• Italija
• Izrael

Potovalne rezervacije & PII

Večina podatkov, ki smo si jih ogledali, izvira iz dveh platform v lasti Gekko Group: Teldar Travel in Infinite Hotel. Obe platformi opravljata ločeni funkciji v zvezi z rezervacijami nastanitve in podatki. 

Glede na svojo funkcijo rezervacijske platforme za potovalne agente so vnosi v bazo podatkov o rezervacijah nastanitve in prevoza večinoma prihajali iz podjetja Teldar Travel. 

Kadarkoli je potovalni agent uporabljal platformo za rezervacijo stranke, je bil v bazo podatkov Gekko Group zabeležen vnos.

Podatki, izpostavljeni v teh rezervacijah, vključujejo:

• Polna imena
• E-poštni naslovi
• Domači naslovi
• PII otrok 
• Datumi potovanja
• Destinacijski hoteli
• Podrobnosti rezervacije (št. Gostov, vrste sob itd.)
• Cena bivanja
• Podatki z zunanjih rezervacijskih platform (tj. Booking.com)

Ker Teldar Travel sodeluje z mnogimi drugimi nastanitvenimi in potovalnimi platformami, zbirka podatkov je vsebovala tudi velike količine podatkov iz zunanjih virov. 

Zunanje platforme, katerih podatki so bili izpostavljeni zaradi interakcije s platformami v lasti Gekko Group, so vključevale:

• Occius – španska potovalna platforma
• Infra – francoska ustvarjalna agencija
• Smile – francoska agencija za digitalne izkušnje in razvoj spletnih strani
• Mondial Pomoč – poljska potovalna platforma
• Selectour.com – francoska spletna turistična agencija
• Booking.com – Mednarodna platforma za rezervacijo hotelov
• Hotelbeds.com – Mednarodna platforma za rezervacije hotelov

Spodaj je primer rezervacije, ki so jo opravili preko Booking.com, v kateri so izpostavljeni PII gostov.

Poleg hotelskih rezervacij, izpostavljeni podatki so vključevali tudi druge oblike potovanj in gostinskih rezervacij. Sem so bile vključene vozovnice za Eurodisney, transferji gostov med hoteli in letališči, izleti in ogledi ter vozovnice za vlak Eurostar.

Izpostavljeni finančni podatki

Skupaj z izpostavljenimi podatki PII, mnogo vnosov je vsebovalo račune, ki razkrivajo finančne podrobnosti potovalnih agencij in njihovih strank.

Baza podatkov je vsebovala račune, priložene določenim rezervacijam, izdelanim z uporabo kreditne kartice, ki pripadajo agentom in / ali njihovim strankam. Ti vključujejo navadne, virtualne in predplačniške kreditne kartice.

Spodaj je primer rezervacije opravljene prek Teldar Travel, z jasno prikazanimi redigovanimi podatki o kreditni kartici.

Poverilnice za prijavo na račun

Med njihovo preiskavo, naša ekipa si je ogledala na tisoče navadnih besedilnih gesel, povezanih z računi na platformah v lasti Gekko Group. 

Teoretično bi nam to lahko omogočilo se prijavite v zasebne račune in izvedite določena dejanja, vključno z:

• Rezervacija na dobroimetju na računu 
• Preklic obstoječih rezervacij 
• Dostop do računov 
• Veliko več možnosti

Med strankami, prizadetimi zaradi kršitve podatkov, je bila Svetovna zdravstvena organizacija. Naši raziskovalci so si na Teldar Travel ogledali uporabniška imena in gesla za račun WHO, kar jim je omogočilo dostop do velikega kreditnega računa WHO in potovalnega proračuna na platformi.

Vpliv kršitve podatkov

Če ponovim, gre za veliko količino podatkov, ki jih je treba izpostaviti. Predstavlja hudo prenehanje veljavnosti protokolov o varnosti podatkov skupine Gekko in njenih odvisnih družb, kar ima resne posledice za številne prizadete ljudi. 

Za Gekko Group in AccorHotels

Za dve družbi ustreznih velikosti in tržnih deležev, Pričakuje se, da bodo Gekko Group in AccorHotels imeli močnejšo varnost podatkov. 

Z izpostavljanjem tako velike količine občutljivih podatkov se bodo verjetno soočila z resnimi vprašanji, kako se je to zgodilo, in njihovimi širšimi politikami glede varnosti podatkov za vse blagovne znamke, ki jih imajo v lasti. 

Varnost podatkov in zasebnost sta največji skrb za vse spletne potrošnike. Vsako podjetje, ki stranke izpostavlja tveganju, se bo soočilo z resnimi vprašanji glede zaupanja in zanesljivosti, kar bo škodovalo njihovemu ugledu in lahko škodovalo njihovim prihodnjim prihodkom in rasti.

Prevzem računa 

Iz praktične perspektive kršene Podjetje Gekko Group je tudi razkrilo različne oblike goljufij in napadov.

Podatki za prijavo, ki jih je videla naša ekipa, lahko hekerjem omogočijo dostop do zasebnih uporabniških računov na rezervacijskih platformah, ki jih ima podjetje.

S temi, hekerji lahko vstopajo v račune in zaračunavajo nakupe na virtualnih kreditnih karticah, shranjenih v njih, maksimiranje, preden lahko AccorHotels ali Gekko Group strankam zaračunajo rezervacije in podobne rezervacije.

To bi lahko privedlo do resne izgube za podjetje.

Pravna tožba

S sedežem v Franciji, z mnogimi evropskimi kupci, AccorHotels in Gekko Group so v pristojnosti Evropske unije in njihovih pravil GDPR. Tolikšen obseg pušča obe podjetji za morebitne pravne tožbe, vključno z denarnimi kaznimi in tožbami.

Za stranke Gekko Group & Potovalni agenti

Za podjetja, ki uporabljajo lastniško programsko opremo Gekko Group, je skrb tudi prevzem računa. Hekerji bi z dostopom do svojih uporabniških računov in zlorabo njihovih kreditnih računov znatno škodili tudi tem veliko manjšim podjetjem. 

Tudi če bi bilo to mogoče, izterjava ukradenih sredstev bi bil dolg in drag postopek. 

Vsebina baze bi lahko tudi hekerjem in kibernetskim kriminalcem pomagala, da se na druga podjetja usmerjajo na ista podjetja. Uporaba izpostavljenih informacij in dostopov, lahko ustvarijo učinkovite oglaševalske akcije z lažnim predstavljanjem ali ciljajo na podjetja z različnimi oblikami napadov zlonamerne programske opreme: zlonamerna programska oprema, vohunska programska oprema, odkupna programska oprema in drugo. 

Obstaja veliko načinov, na katere bi podjetje, ki uporablja platforme Gekko Group, lahko napadlo, vendar vsi imajo eno skupno stvar: bili bi uničujoči za ciljna podjetja. 

Za stranke potovalnih agencij

S toliko izpostavljenimi PII in finančnimi podatki, kupci potovalnih agentov, ki uporabljajo platformo Gekko Group, so prav tako izpostavljeni napadom.

Informacije, ki jih je gledala naša ekipa, bi lahko uporabili na več načinov. Ena potencialna taktika za hekerje bi bila gradnja učinkovitih lažnih oglaševalskih akcij. Hekerji, ki se predstavljajo kot hoteli, agenti za rezervacijo ali Teldar Travel, lahko tarče razkrijejo, da bi razkrili dodatne informacije in s tem ukradite pošiljanje zlonamerne programske opreme, kot so zlonamerna programska oprema in vohunska programska oprema, ter ukradite njihove identitete. 

Te kampanje goljufij ne bi smele biti izpopolnjene. Glede na velikost izpostavljenih podatkov, tudi če bi bilo uspešno napadeno le majhno število tarč, bi hekerji ocenili kot uspeh. 

Nasveti strokovnjakov

Gekko Group bi se temu uhajanju zlahka izognila če bi sprejeli nekaj osnovnih varnostnih ukrepov za zaščito baze podatkov. Sem spadajo, vendar niso omejene na:

1. Zavarujte svoje strežnike.
2. Izvedite ustrezna pravila za dostop.
3. Nikoli ne puščajte sistema, za katerega ni potrebna avtentikacija, odprt za internet.

Vsako podjetje lahko ponovi iste korake, ne glede na njegovo velikost.

Za bolj poglobljen vodnik, kako zaščititi svoje podjetje, si oglejte naš vodnik za zaščito vašega spletnega mesta in spletne Gekko Group pred hekerji.

Za stranke Gekko Group

Obrnite se na Gekko Group in se prepričajte, da sprejemajo potrebne ukrepe za rešitev morebitnih ranljivosti. 

Vmes predlagamo spreminjanje gesel in uporabniških imen za platformo, ki je v lasti Gekko Group. To bo zagotovilo, da zlonamerni akterji ne bodo v prihodnje dostopali, če so bili vaši podatki izpostavljeni na kakršen koli način. 

Za dodatno plast zaščite, uporabi generator gesel za ustvarjanje najbolj varnega gesla.

Predlagamo tudi vam temeljito pregledati katero koli programsko opremo in izvajalce drugih proizvajalcev boste zagotovili, da upoštevajo stroge protokole varnosti podatkov.

Če vas skrbi, kako lahko ranljivosti podatkov na splošno vplivajo na vašo zasebnost in varnost, preberite naše popoln vodnik za spletno zasebnost.

Prikaže vam številne načine, kako kibernetski kriminalci ciljajo na uporabnike interneta, in korake, ki jih lahko izvedete, da ostanete varni.

Kako in zakaj smo odkrili kršitev

Raziskovalna skupina vpnMentor je odkrila kršitev v bazi podatkov Gekko Group kot del velikega projekta spletnega kartiranja. Naši raziskovalci uporabljajo skeniranje vrat za pregledovanje določenih blokov IP in testiranje odprtih lukenj v sistemih za pomanjkljivosti. Vsako luknjo pregledajo, če se podatki puščajo. 

Ko ugotovijo kršitev podatkov, za preverjanje identitete skupine Gekko uporabljajo strokovne tehnike. Nato podjetje opozorimo na kršitev. Če je mogoče, bomo opozorili tudi tiste, ki jih je kršila kršitev.

Naša ekipa je lahko dostopila do tega strežnika, ker je bil popolnoma nezaščiten in nešifriran. 

Podjetje uporablja bazo podatkov Elasticsearch, ki običajno ni zasnovana za uporabo URL-jev. Vendar pa smo do njega lahko dostopali prek brskalnika in manipulirali z merili za iskanje URL-ja, da bi razkrili sheme.    

Namen tega projekta spletnega preslikavanja je pomagati narediti internet varnejši za vse uporabnike. Kot etični hekerji smo dolžni obvestiti podjetje, ko odkrijemo pomanjkljivosti v njihovi spletni varnosti. 

Vendar pa ta etika pomeni tudi nosimo tudi odgovornost do javnosti. To še posebej velja, če kršitve podatkov podjetij vsebujejo tako veliko zasebnih in finančnih informacij. 

O nas in prejšnja poročila

vpnMentor je največje spletno mesto za pregled VPN. Naš raziskovalni laboratorij je pro bono storitev, ki si prizadeva pomagati spletni skupnosti, da se brani pred kibernetskimi grožnjami, hkrati pa izobražuje organizacije o varovanju podatkov svojih uporabnikov. V preteklosti smo odkrili ogromno kršitev podatkov, ki je razkrila podatke milijonov Ekvadorskih državljanov. Odkrili smo tudi, da je kršitev Biostar 2 ogrozila biometrične podatke več kot 1 milijona ljudi. Morda boste želeli prebrati tudi poročilo o puščanju VPN in poročilo o statistiki zasebnosti.