Fransız bir grup milyonlarca yolcunun verilerini ifşa ediyor İnternette kişisel verilerle dolu güvenli olmayan bir sunucu keşfedildi. Bu, Fransa'dan büyük bir otel grubu tarafından açıkça toplanan, milyonlarca gezginin hassas bilgilerini açığa çıkarıyor.
Siber haber araştırmacıları keşfetti “korunmasız bir Elasticsearch sunucusu” web üzerindeki bir Kibana arayüzü ile ilişkilidir. Herkesin korumasız olarak erişebildiği bu sunucu, Avrupa'daki otellere seyahat eden milyonlarca kişiye ait kişisel verileri içeriyordu.
Cybernews araştırmasının ortaya çıkardığı gibi, sunucu şunları içeriyordu: “25 milyona yakın veri kaydı” otel misafirleri ile ilgili. Bilgilerin büyük bir otel zincirine ait olduğu anlaşılıyor. Soruşturmalar şunu gösteriyor Honotel grububüyük şehirlerde bulunan 50'den fazla oteli yöneten, Fransa ve Avrupa'daki otel sektörünün önemli bir oyuncusudur.
Araştırmacıların uyardığı Honotel, durumla ilgili herhangi bir açıklama yapmadı. Ancak sunucuya erişim Keşiften kısa bir süre sonra güvenlik altına alındı Cybernews'ten. Müşterilerin kişisel verilerini görüntülemek artık mümkün değildir.
Yanlışlıkla ifşa edilen kişisel veriler arasında isimler, e-posta adresleri, telefon numaraları, doğum tarihleri, ülke kodları, konuşulan diller, otel ziyaretlerine ilişkin bilgiler, konaklama ayrıntıları (varış saati, rezerve edilen gece sayısı, ödenen fiyat ve misafir sayısı dahil) yer alır. biriken sadakat puanları ve mülk tanımlayıcıları, yani her bir otel işletmecisine tahsis edilen benzersiz kodlar. Kibana arayüzü aracılığıyla, örneğin belirli bir kişiyi aramak için depolanan verileri görüntülemek ve keşfetmek mümkündü.
Gizlilik ve mahremiyet söz konusu olduğunda bu açıkça bir felakettir. Ayrıca bu bilgiler siber suçlular tarafından da kullanılabilir. Bilgisayar korsanları açığa çıkan verileri kullanarak mühendislik yapabilir Kimlik avı saldırıları özellikle ikna edici veya kimlik hırsızlığı girişimlerini organize eden.
Şu anda, açığa çıkan verilere siber suçluların eriştiğine dair hiçbir kanıt bulunmuyor. Raporun da vurguladığı gibi, GDPR (Genel Veri Koruma Yönetmeliği), şirketlerin tüm veri ihlallerini 72 saat içinde bildirmelerini gerektiriyor. Bu nedenle, bir ihlal durumunda grup yetkililere bildirimde bulunacaktı. Açıkçası, bilgiye kimsenin farkına varmadan erişilmesi her zaman mümkündür.
Siber haberler
Siber haber araştırmacıları keşfetti “korunmasız bir Elasticsearch sunucusu” web üzerindeki bir Kibana arayüzü ile ilişkilidir. Herkesin korumasız olarak erişebildiği bu sunucu, Avrupa'daki otellere seyahat eden milyonlarca kişiye ait kişisel verileri içeriyordu.
Sızıntının kaynağında bir otel zinciri var
Cybernews araştırmasının ortaya çıkardığı gibi, sunucu şunları içeriyordu: “25 milyona yakın veri kaydı” otel misafirleri ile ilgili. Bilgilerin büyük bir otel zincirine ait olduğu anlaşılıyor. Soruşturmalar şunu gösteriyor Honotel grububüyük şehirlerde bulunan 50'den fazla oteli yöneten, Fransa ve Avrupa'daki otel sektörünün önemli bir oyuncusudur.
Araştırmacıların uyardığı Honotel, durumla ilgili herhangi bir açıklama yapmadı. Ancak sunucuya erişim Keşiften kısa bir süre sonra güvenlik altına alındı Cybernews'ten. Müşterilerin kişisel verilerini görüntülemek artık mümkün değildir.
Hangi hassas veriler açığa çıktı?
Yanlışlıkla ifşa edilen kişisel veriler arasında isimler, e-posta adresleri, telefon numaraları, doğum tarihleri, ülke kodları, konuşulan diller, otel ziyaretlerine ilişkin bilgiler, konaklama ayrıntıları (varış saati, rezerve edilen gece sayısı, ödenen fiyat ve misafir sayısı dahil) yer alır. biriken sadakat puanları ve mülk tanımlayıcıları, yani her bir otel işletmecisine tahsis edilen benzersiz kodlar. Kibana arayüzü aracılığıyla, örneğin belirli bir kişiyi aramak için depolanan verileri görüntülemek ve keşfetmek mümkündü.
Gizlilik ve mahremiyet söz konusu olduğunda bu açıkça bir felakettir. Ayrıca bu bilgiler siber suçlular tarafından da kullanılabilir. Bilgisayar korsanları açığa çıkan verileri kullanarak mühendislik yapabilir Kimlik avı saldırıları özellikle ikna edici veya kimlik hırsızlığı girişimlerini organize eden.
Şu anda, açığa çıkan verilere siber suçluların eriştiğine dair hiçbir kanıt bulunmuyor. Raporun da vurguladığı gibi, GDPR (Genel Veri Koruma Yönetmeliği), şirketlerin tüm veri ihlallerini 72 saat içinde bildirmelerini gerektiriyor. Bu nedenle, bir ihlal durumunda grup yetkililere bildirimde bulunacaktı. Açıkçası, bilgiye kimsenin farkına varmadan erişilmesi her zaman mümkündür.
Kaynak :01net'ten hiçbir haberi kaçırmamak için bizi Google Haberler ve WhatsApp'tan takip edin.
Siber haberler