חברת 'וובסייט פלאנט' (Website planet) דיחווה ביום שישי, על מחדל אבטחת מידע חמור, שאפשר גישה לפרטים אישיים ומספרי אשראי של מאות אלפי לקוחות באתרי הזמנת מלונות וחופשות.

המחדל התגלה בחברת 'פרסטיג' סופטוור' (Prestige Software), שאחסנה נתוני משתמשים משירותי הזמנת מלונות פופולריים,בהם 'אקספדיה' (Expedia) ו'בוקינג' (Booking) החל משנת 2013. מדובר על מעל 10 מיליון קבצים, בנפח כולל של 24.4 ג'יגהבייט, ובהם פרטי עסקאות של מאות אלפי לקוחות בתחום המלונאות.

אתר בוקינג. (Postmodern Studio / Shutterstock.com)

על-פי הדיווח, המידע אוחסן בשירותי הענן של אמזון ללא אבטחה וללא הצפנה, כאשר החברה סיפקה שירותים לעשרות חברות שונות, ביניהן החברות המובילות בתחום המלונאות כגון: 'הוטלס' (Hotels.com), 'הוטל בדס' (Hotelbeds), 'אמדאוס' (Amadeus), 'אגוֹדה' (agoda), 'אומניביס' (Omnibees) ואחרות.

לאור ההיקף העצום של המידע שלא אובטח כהלכה, לחוקרי האבטחה אין דרך לדעת האם חלקו או כולו הגיע לידיים זדוניות. בין הפרטים שלא אובטחו ולא הוצפנו נכללו לא רק פרטים אישיים כמו שם, מספר דרכון, כתובת מייל וטלפון, אלא גם פרטי אשראי, כולל 3 ספרות ה-CVV.

אין באמת איך להתגונן

במידה והמידע דלף, הלקוחות שפרטיהם רשומים בו חשופים להתחזות וגניבת זהות, שהיא נקודת מפתח לאינספור סוגי הונאות אחרות, כלכליות ואחרות.

למעשה, כאשר מידע מאוחסן ללא הצפנה וללא אבטחה ראויה, אין איך לתקן את הנזק, אלא רק לאבטח את המידע ולמנוע גישה בלתי מורשית אליו בעתיד.למשתמשים באתרי הזמנת המלונות מומלץ לבדוק את החיובים בכרטיסי האשראי בהם השתמשו.

גם אם אם החברה תיענש, הנזק נעשה

בשל היקף הפרצה, חוקרי האבטחה וובסייט פלאנט של פנו קודם כל לאמזון, המאחסנת את המידע, בטרם פנו לחברה לחברת פרסטיג' סופטוור לה שייך המידע. המידע כעת מאובטח, אך אין לדעת כמה ממנו דלף. גם אם החברה תיענש בחומרה, הנזק כבר נעשה ובעוד כרטיסי אשראי ניתן להחליף, שמות, מספרי זהות ופרטים אישיים נוספים אינם ברי החלפהבכזו קלות.

חברת פרסטיג' סופטוור רשומה בספרד, והינה כפופה לכללי האיחוד האירופי ה-GDPR. החברה מחויבת לדווח על כשל האבטחה החמור ועל הטיפול בו. החברה גם הפרה את תקן שמירת המידע PCI, שיצרו חברות האשראי. התקן נועד לוודא שמירה מאובטחת ומוצפנת של אפשרויות חיוב, הכוללות הימנעות מאחסון המידע המלא של פרטי האשראי.