Sistema de gestión de reservas de Best Western Hotels filtró los datos personales de todos sus clientes

Publicado por: La Redacción - kfiguereo@juventud.gob.do

El equipo de especialistas en seguridad de aplicaciones web de la firma vpnMentor ha descubierto una brecha masiva en una base de datos operada por la compañía Autoclerk, un sistema de gestión de reservaciones propiedad de Best Western Hotels & Resorts Group. Debido a que esta base de datos está conectada a algunas plataformas relacionadas con viajes y servicios de hotelería, este podría ser un verdadero peligro para miles de usuarios.

Durante el incidente han sido expuestos los datos personales de los huéspedes del grupo hotelero, además de una descripción detallada de sus reservas e itinerarios. En los peores casos, los registros incluían horario de la reservación e incluso el número de habitación del huésped.

Acorde a los expertos en seguridad de aplicaciones web, entre los clientes más notables de la compañía de reservaciones están el Ejército de E.U., además del Departamento de Seguridad Nacional (DHS). “Encontramos datos altamente sensibles que exponen al personal militar y de las agencias de seguridad de E.U., incluyendo detalles de viajes pasados y futuros”, mencionan los expertos.

La información comprometida (poco más de 179 GB) se encontraba alojada en Amazon Web Services; acorde a los reportes, esta base de datos fue integrada a partir de plataformas externas de viajes que usaban la plataforma del propietario de la base de datos para interactuar y contrastar información sobre los viajes. Las plataformas de clientes afectadas incluyen sistemas de administración de propiedades (PMS), motores de reserva y servicios de datos dentro de las industrias de turismo y hotelería.

Según se ha reportado la base de datos comprometida contiene al menos 100 mil registros de reservas, entre los que destacan detalles personales como:

  • Nombre completo
  • Fecha de nacimiento
  • Domicilio
  • Número de teléfono
  • Fechas y costos de viaje
  • Detalles de tarjetas de pago (protegidos)

Por otra parte, la firma de seguridad reveló que la información comprometida de los funcionarios del gobierno y miembros del ejército era operada por un servicio de terceros, encargado de gestionar los viajes de estos funcionarios.  Entre los registros expuestos se encontraron detalles sobre los viajes de algunos generales del ejército de E.U. a países como Rusia, Israel, entre otros. Direcciones email, números de teléfono, entre otros datos, también fueron expuestos.

Este es un tema realmente serio, pues los expertos en seguridad de aplicaciones web mencionan que cualquier grupo de hackers organizado podría acceder a esta información para desplegar complejas campañas de fraude contra los usuarios expuestos, incluyendo a los miembros del ejército y funcionarios de inteligencia de E.U.

En cuanto a la compañía operadora de la base de datos expuesta, este incidente también podría resultar perjudicial. Al analizar la información expuesta, un hacker con los suficientes conocimientos podría aprender importantes detalles sobre estos sistemas de gestión de reservaciones, lo que representa un riesgo de seguridad en el futuro para la compañía afectada y otros servicios similares.

Como medida de protección, los expertos en seguridad de aplicaciones web del Instituto Internacional de Seguridad Cibernética (IICS) mencionan que la compañía afectada debe implementar mejor protección en sus servidores, aplicar reglas de acceso más estrictas, además de no exponer un sistema que requiera autenticación al Internet público.

Fuente: Noticias Seguridad