Προς το περιεχόμενο

Εκατομμύρια δεδομένα από τα Booking.com & Hotels.com διέρρευσαν στο διαδίκτυο


trib

Προτεινόμενες αναρτήσεις

  • Απαντ. 33
  • Δημ.
  • Τελ. απάντηση

Συχνή συμμετοχή στο θέμα

1 ώρα πριν, filip123go είπε

Στο άρθρο αφήνει να εννοηθεί πως φταίει το AWS ενώ το original αρθρο αναφέρει ¨Data Storage Format: Misconfigured AWS S3 bucket¨ , που σημαίνει οτι μάλλον κάποιος δεν έκανε καλά την δουλεία του.!!

Και γι αυτό πάντα pay-pal και πάλι pay-pal. Μπορεί να μην το θέλουν οι εταιρείες γιατί έχει μεγάλη προμήθεια (πιο πρόσφατη που θυμάμαι είναι η beat που το έβγαλε), αλλα σε τέτοιες περιπτώσεις είσαι ήσυχος. 

Επίσης, γιατί κρατούσαν δεδομένα πιστωτικών καρτών;;;; 

Γιατί τις χρεώνουν. Εσύ κάνεις κράτηση τώρα και τη μέρα που σταματάει η δωρεάν ευκαιρία για ακύρωση στη χρεώνουν. Μπορεί να είναι την ίδια στιγμή της κράτησης, μπορεί σε ένα μήνα, μπορεί και σε ένα χρόνο. 

  • Like 1
Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

23 ώρες πριν, trib είπε

Η πλατφόρμα που μοιράζονται δύο από τις μεγαλύτερες υπηρεσίες στο χώρο των κρατήσεων, άφησε ορθάνοιχτη την πόρτα σε επιτήδειους & απατεώνες.

Η ξενοδοχειακή αγορά ίσως έχει μπροστά της να ανέβει ένα μεγάλο Γολγοθά και να αντιμετωπίσει ένα σοβαρό πρόβλημα ασφαλείας παράλληλα με την πανδημία. Η ιστοσελίδα Website Planet αναφέρει ότι η Prestige Software, η εταιρία που προμηθεύει με λογισμικό τις πλατφόρμες κρατήσεων ξενοδοχείων όπως τα Hotels.com, Booking.com και Expedia, άφησε εκατομμύρια δεδομένα επισκεπτών εκτεθειμένα στην υπηρεσία cloud αποθήκευσης Amazon Web Services S3. Τα αρχεία περιέχουν περισσότερες από 10 εκατομμύρια εγγραφές και συμπεριλαμβάνουν στοιχεία όπως ονόματα, πιστωτικές κάρτες, αριθμούς ταυτότητας και λεπτομέρειες κράτησης.

Δεν είναι σίγουρο για πόσο καιρό τα δεδομένα ήταν ανοιχτά διαθέσιμα ή αν κάποιος πήρε τελικά αυτά τα αρχεία. Η ιστοσελίδα Planet λέει ότι η «τρύπα» έκλεισε μια μέρα μετά την ενημέρωση στην υπηρεσία AWS με την Prestige να επιβεβαιώνει πως τα δεδομένα αυτά ήταν δικά της. Η ζημιά θα μπορούσε να είναι πολύ σοβαρή αν απατεώνες έχουν βρει τα δεδομένα. Η ιστοσελίδα Planet προειδοποίησε ότι αυτή η διαρροή θα μπορούσε να οδηγήσει σε πολλούς κινδύνους όπως απάτες με πιστωτικές κάρτες, κλοπή ταυτότητας και απάτες τύπου phishing. Οι απατεώνες, αν είναι αρκετά τολμηροί, θα μπορούσαν ακόμη και να κλέψουν τις διακοπές κάποιου άλλου χρήστη.

Πρακτικά, ο αντίκτυπος που μπορεί να έχει αυτή η διαρροή ίσως είναι περιορισμένος, δεδομένου ότι λίγοι ταξιδεύουν κατά τη διάρκεια της πανδημίας. Ωστόσο, αυτό δείχνει τους μεγάλους κινδύνους που ελλοχεύουν όταν μεγάλες πλατφόρμες στηρίζονται και εξαρτώνται από τρίτους παρόχους. Η ασφάλεια σε μία υπηρεσία ή πλατφόρμα είναι τόσο ισχυρή όσο ο πιο αδύναμος κρίκος της και μόλις μια ευπάθεια σε μια εταιρία είναι ικανή να θέσει σε κίνδυνο όλα όσα έχτιζε τα προηγούμενα χρόνια.

 

Διαβάστε ολόκληρο το άρθρο

 

Διαφωνώ καθέτως και οριζοντίως. Η στήριξη σε 3ους παρόχους είναι το Industry Standard ιδιαίτερα αν είσαι μεγάλος ή αν στοχεύεις ψηλά. Η δουλειά της κάθε εταιρείας δεν είναι να έχει κάθετη μονάδα παραγωγής στα πάντα, αντιθέτως να συνεργάζεται με εξειδικευμένες εταιρείες για κάθε τι που χρειάζεται. Shit Happens. Τέτοια λάθη έχουν κάνει πολύ μεγαλύτερες εταιρείες απο την Prestige (γκουχου Sony γκούχου). 

 

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

4 ώρες πριν, SakisD1 είπε

Λέτε επιτέλους να κλείσει η booking ;;; 

Όχι, γύρνα πλευρό. 

"Οι απατεώνες, αν είναι αρκετά τολμηροί, θα μπορούσαν ακόμη και να κλέψουν τις διακοπές κάποιου άλλου χρήστη."

Όχι δεν θα μπορούσαν. Από που ακριβώς βγαίνει το συμπέρασμα αυτό, έχει χρησιμοποιήσει ποτέ ο αρθρογράφος (ο original, όχι ο δικός μας) την υπηρεσία ή στην τύχη αμολάει αρλούμπες? 

  • Like 1
Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

4 λεπτά πριν, polaki είπε

Όχι, γύρνα πλευρό. 

"Οι απατεώνες, αν είναι αρκετά τολμηροί, θα μπορούσαν ακόμη και να κλέψουν τις διακοπές κάποιου άλλου χρήστη."

Όχι δεν θα μπορούσαν. Από που ακριβώς βγαίνει το συμπέρασμα αυτό, έχει χρησιμοποιήσει ποτέ ο αρθρογράφος (ο original, όχι ο δικός μας) την υπηρεσία ή στην τύχη αμολάει αρλούμπες? 

Δυο φορές το έχω χρησιμοποιησει  booking  και trip και τις δύο ήθελαν το email επιβεβαίωσης και το διαβατηριο στο ξενοδοχείο ,αν είναι το στανταρ ή όχι δεν ξερω αλλά αυτή ήταν η εμπειρία μου.

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

4 λεπτά πριν, Ukforthemoment είπε

Δυο φορές το έχω χρησιμοποιησει  booking  και trip και τις δύο ήθελαν το email επιβεβαίωσης και το διαβατηριο στο ξενοδοχείο ,αν είναι το στανταρ ή όχι δεν ξερω αλλά αυτή ήταν η εμπειρία μου.

ε ναι, προφανώς γι'αυτό το είπα. Απ'τις μεγαλύτερες κοτσάνες που διαβάσαμε το να κλέψει κάποιος τολμηρός διακοπές άλλου χρήστη. Ατάκα καφενείου πραγματικά.

  • Thanks 1
Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

Δημοσ. (επεξεργασμένο)
Quote

Εκατομμύρια δεδομένα από τα Booking.com & Hotels.com διέρρευσαν στο διαδίκτυο

υπάρχει κάτι που δεν έχει πουληθείδιαρρεύσει στο διαδίκτυο?
Κανονικά θα έπρεπε κάπου στο site να υπάρχει μόνιμη στήλη με δελτίο διαρροών, όπως οι εφημερίδες έχουν με φαρμακεία και βενζινάδικα.

Είναι πάνω από 10ετία που οι διαρροές έχουν εξελιχθεί και αυτές σε πανδημία, κάποιος να απαγορεύσει στις εταιρείες να αποθηκεύουν δεδομένα για παραπάνω από πχ 7 μέρες.

Σε περίπτωση απάτης με πιστωτική ποιός θα πληρώσει την ζημιά? ποιά είναι η διαδκασία?

Επεξ/σία από eyw
  • Thanks 1
Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

 

8 ώρες πριν, eyw είπε

Εκατομμύρια δεδομένα από τα Booking.com & Hotels.com διέρρευσαν στο διαδίκτυο


Πώς βρίσκουμε αν συνέβη όντως αυτό; Το GDPR προβλέπει αποζημιώσεις στους χρήστες, έως 10000 ευρώ;

Και πολύ αυξημένο πρόστιμο από τη στιγμή που δεν υπήρξε ενημέρωση.

  • Like 1
Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

2 ώρες πριν, screwvy είπε


Πώς βρίσκουμε αν συνέβη όντως αυτό; Το GDPR προβλέπει αποζημιώσεις στους χρήστες, έως 10000 ευρώ;

Και πολύ αυξημένο πρόστιμο από τη στιγμή που δεν υπήρξε ενημέρωση.

Θα με ενδιέφερε και εμένα, επειδή έχω υπογράψει σε μικρομεσσαία επιχείρηση (στην Ελλάδα, οπότε κλάιν μάιν) οτι είμαι "data protection officer" και καλά και είχαμε κάνει ένα σκασμό χαρτομάνι και κακό, με επικοινωνίες στην αρχή προστασίας προσ. δεδομένων κλπ, θα ήθελα πραγματικά να το τρέξω λίγο να δω τί μας (με) περιμένει στην περίπτωση που όντως γίνει στραβή. Η δική μας περίπτωση δεν έχει κάρτες αλλά έχει αποθηκευμένους τραπεζικούς λογαριασμούς, διευθύνσεις, ηλικίες κλπ. 

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

1 ώρα πριν, polaki είπε

Θα με ενδιέφερε και εμένα, επειδή έχω υπογράψει σε μικρομεσσαία επιχείρηση (στην Ελλάδα, οπότε κλάιν μάιν) οτι είμαι "data protection officer" και καλά και είχαμε κάνει ένα σκασμό χαρτομάνι και κακό, με επικοινωνίες στην αρχή προστασίας προσ. δεδομένων κλπ, θα ήθελα πραγματικά να το τρέξω λίγο να δω τί μας (με) περιμένει στην περίπτωση που όντως γίνει στραβή. Η δική μας περίπτωση δεν έχει κάρτες αλλά έχει αποθηκευμένους τραπεζικούς λογαριασμούς, διευθύνσεις, ηλικίες κλπ. 

Και ύστερα μας φταίνε όλοι οι άλλοι. Ωραία νοοτροπια

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

Δημοσ. (επεξεργασμένο)
19 hours ago, Dark Worm said:

Τα cookies δεν ειναι μονο μπισκοτακια. Σου κλεβουν τα προσωπικα δεδομενα επειδη σεβονται το απορρητο και γενικα εσενα ως χρηστη.

cookie monster eating GIF

 

Δυστυχώς φίλε μου είσαι τελείως εκτός θέματος. Οι ίδιοι οι πελάτες συμπλήρωσαν φόρμες με όλα τους τα στοιχεία + κάρτες για να κάνουν την κράτηση. Το exploit ήταν server side τρίτης υπηρεσίας:

O Channel Manager (cloud platform) είναι μια υπηρεσία που δέχεται στοιχεία κρατήσεων για λογαριασμό ξενοδόχων, από διάφορους ΟΤΑ (Online Travel Agents). Ο λόγος είναι η διευκόλυνση στην εισαγωγή των κρατήσεων, η καλύτερη διαχείριση της διαθεσιμότητας, ο ευκολότερος έλεγχος των gross rates κτλ

Με λίγα λόγια συντονίζει κοινές ενέργειες μεταξύ ξενοδοχείου & πολλαπλών διαδικτυακών καναλιών πώλησης.

Ο πελάτης (τουρίστας/επισκέπτης) δίνει την πιστωτική του κάρτα, αρ. ταυτότητας/διαβατηρίου σε κάποιον ΟΤΑ όταν κάνει την κράτηση.  Έπειτα ο ΟΤΑ στέλνει όλα τα στοιχεία της κράτησης (πλην της κάρτας) μέσω email στα ξενοδοχεία που δεν χρησιμοποιούν channel manager ή όλα τα στοιχεία (+πιστωτική) στον channel manager, όπου ο ξενοδόχος μπορεί να δει στο (ασφαλές) περιβάλλον του τελευταίου τα στοιχεία της κάρτας για να την χρεώσει.

Η ειρωνεία είναι πως για όρια <300,000 $ ανά card issuer (visa/master card), σε ετήσια βάση, το self-assesment του PCI-compliance είναι αρκετό και συνήθως Booking/Expedia/Hotelbeds αρκούνται σε αυτό.

Με λίγα λόγια ο εκάστοτε channel manager, πιστοποιείτε μόνος του απέναντι στον ΟΤΑ, απλά παρέχοντας ικανοποιητικές απαντήσεις σε ερωτηματολόγια και ένα server plan για να δείξεις πως έχεις και demilitarized zone στην αρχιτεκτονική σου.

Κανείς όμως δεν ελέγχει την ορθότητα των παραπάνω! Τα δηλώνεις, αλλά όταν έρθει η ώρα να πληρώσεις την trustwave ή κάποιον πάροχο της, κανείς δεν ενημερώνει τους ΟΤΑ αν στα assessment τους είσαι επισφαλής! Αρκούνται πως αν γίνει κάποιο breach νομικά η ευθύνη είναι πάνω σου, αφού αποδείξουν πως δεν έφταιγαν (τεχνικά) οι ίδιοι οι ΟΤΑ στο όλο chain.

Η Expedia βέβαια που χρεώνει η ίδια τον πελάτη σε αρκετές κρατήσεις και δίνει δική της virtual card στον ξενοχόδο, η οποία είναι κλειδωμένη για συγκεκριμένα MMC codes σε POS, δεν θα είχε το ίδιο πρόβλημα με όλους τους πελάτες της, αλλά μόνο με αυτούς που επιλέγουν "Hotel Collect" κρατήσεις.

Επεξ/σία από Lomar
Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

Επισκέπτης
Αυτό το θέμα είναι πλέον κλειστό για περαιτέρω απαντήσεις.

  • Δημιουργία νέου...