Отчет: дочерняя компания AccorHotels раскрывает информацию об отелях и путешественниках в результате массовой утечки данных

Исследовательская группа vpnMentor под руководством Ноама Ротема и Ран Локара обнаружила нарушение данных, принадлежащих Gekko Group, дочерней компании Accor Hotels. 

Основанная во Франции, Gekko Group является ведущая европейская платформа бронирования отелей B2B которая также владеет несколькими небольшими брендами гостеприимства. 

К ним относятся Teldar Travel & Infinite Hotel, два бренда, наиболее представленные в базе данных, обнаруженной нашей командой. Тем не менее, некоторые данные других брендов, принадлежащих Gekko Group, также были. 

База данных была огромной и содержала более 1 терабайта данных.. Сюда входят данные брендов Gekko Group и их клиентов, а также внешние веб-сайты и платформы, с которыми общаются их системы, такие как Booking.com.

Это нарушение представляет собой серьезная ошибка в безопасности данных со стороны Gekko Group и ее дочерних компаний, Нарушение конфиденциальности их клиентов, клиентов, AccorHotels и самих предприятий.

Gekko Group Профиль компании

Основанная в 2010 году во Франции, Gekko Group в основном работает на европейском рынке гостеприимства, но имеет офисы по всему миру. Платформа бронирования отелей B2B, она также владеет множеством небольших брендов. Внутри всех этих брендов, Gekko Group имеет общую клиентскую базу в 600 000 отелей по всему миру., с интересами в сфере корпоративных путешествий, отдыха, гостиничного инвентаря и распространения данных.

В 2023 году AccorHotels – крупнейшая гостиничная компания в Европе и шестая по величине в мире – приобрела Gekko Group. В то время Gekko Group была оценена в 117 миллионов долларов.

Тельдар Трэвел

Teldar Travel – это европейская система бронирования отелей B2B, созданная для турагентов и принадлежащая Gekko Group.. Платформа утверждает, что соединяет более 14 000 турагентов с 1 000 000 провайдерами размещения по всему миру, а также предоставляет транспортные возможности.

Это помогает турагентам бронировать и управлять размещением, транспортом и другими видами деятельности для своих клиентов в упорядоченном процессе.

Бесконечные отели 

Также принадлежит Gekko Group, Infinite Hotels управляет оптовым распределением данных инвентаризации и бронирования. относящиеся к провайдерам жилья на различных онлайн-платформах, связанных с путешествиями.

Хронология открытия и реакции владельца

Иногда степень нарушения данных и владелец данных очевидны, и проблема быстро решается. Но эти времена редки. Чаще всего нам требуются дни для расследования, прежде чем мы поймем, что поставлено на карту или кто передает данные.

Понимание нарушения и того, что поставлено на карту, требует тщательного внимания и времени. Мы прилагаем все усилия, чтобы публиковать точные и заслуживающие доверия отчеты, чтобы каждый, кто их читает, понимал их серьезность..

Некоторые пострадавшие стороны отрицают факты, игнорируя наше исследование или преуменьшая его влияние. Таким образом, мы должны быть тщательными и убедиться, что все, что мы находим, правильно и верно.

В таком случае, база данных содержала файлы, принадлежащие многочисленным брендам Gekko Group и внешним платформам. Первоначально было неясно, к какому бренду принадлежит база данных. С данными, полученными из многочисленных источников, команда должна была сопоставить данные разных брендов, чтобы убедиться, что они все совпадают. 

Однажды мы подтвердили, что Gekko Group является владельцем базы данных., мы попытались связаться с AccorHotels и их сотрудником по защите данных уведомить их о нарушении и помочь решить проблему. 

Когда это не удалось, наша команда обратилась к Gekko Group напрямую, а также их офицер GDPR. 

По-прежнему не получая ответов от AccorHotels или Gekko Group, мы связались с их хостинговой компанией и, в конечном итоге, с Национальной комиссией по информатизации и свободе (CNIL) – независимым регулирующим органом Франции по безопасности и конфиденциальности данных..

Наконец, 13 ноября, после недели отправки электронных писем мы получили ответ от AccorHotels с вопросом об утечке. Почти сразу после этого он был закрыт. Мы должным образом получили благодарственное письмо от AccorHotels, подтверждающее устранение утечки. Они также сообщили Gekko Group соответственно.

• Дата обнаружения: 7/11
• Дата связаться с поставщиками: 7/11
• Дата второй попытки контакта (при необходимости): 10/11
• Дата ответа: 13/11
• Дата действия:13/11

Примеры выставленных данных

Скомпрометированная база данных, размещенная во Франции на серверах, принадлежащих OVH SA, была огромной и содержала приблизительно 1 ТБ данных.. 

В то время как данные принадлежали AccorHotels – через их собственность Gekko Group – они происходили от многих различных предприятий в Gekko Group. Большая часть данных поступила из двух источников: Teldar Travel & Бесконечные отели.

Поскольку бренды Gekko Group выполняют самые разные функции, наша команда получила огромное разнообразие типов данных, включая:

• Бронирование гостиниц и транспорта
• Данные кредитной карты
• Личная информация (PII) различных сторон
• Учетные данные для учетных записей клиентов на платформах, принадлежащих Gekko Group
• и т.д.

В качестве эти предприятия взаимодействуют со многими внешними платформами в индустрии туризма и гостеприимства, база данных также содержала данные, поступающие с платформ вне зонтика Gekko Group.

Это раскрыло отели, туристические агентства и их клиентов по всему миру, многие из которых не имели прямого отношения к Gekko Group или ее брендам.. 

Наша команда просмотрела базу данных записи на многочисленных языках, происходящих из разных стран, в основном в европе. Среди них были граждане следующих стран:

• Испания 
• Объединенное королевство
• Нидерланды 
• Португалия 
• Франция
• Бельгия
• Италия
• Израиль

Бронирование путешествий & PII

Большинство данных, которые мы просматривали, были получены с двух платформ, принадлежащих Gekko Group: Teldar Travel и Infinite Hotel.. Обе платформы выполняют отдельные функции, связанные с бронированием жилья и данными.. 

Учитывая его функцию в качестве платформы бронирования для турагентов, записи в базе данных, касающиеся размещения и бронирования транспорта, в основном поступали от Teldar Travel.. 

Всякий раз, когда турагент использовал платформу для резервирования клиента, в базу данных Gekko Group записывалась запись.

Данные, представленные в этих оговорках, включали:

• Полные имена
• Адрес электронной почты
• Домашние адреса
• ПИИ детей 
• Даты путешествия
• Отели назначения
• Детали бронирования (количество гостей, типы номеров и т. Д.)
• Стоимость проживания
• Данные с внешних платформ бронирования (например, Booking.com)

Потому что Teldar Travel взаимодействует со многими другими платформами размещения и путешествий, база данных также содержала значительные объемы данных из внешних источников. 

Внешние платформы, данные которых были раскрыты в результате взаимодействия с платформами, принадлежащими Gekko Group, включали:

• Occius – испанская туристическая платформа
• Infra – французское креативное агентство
• Smile – французское агентство цифрового опыта и веб-разработки
• Mondial Assistance – польская туристическая платформа
• Selectour.com – французское онлайн туристическое агентство
• Booking.com – Международная платформа бронирования отелей
• Hotelbeds.com – Международная платформа бронирования отелей

Ниже приведен пример бронирования, сделанного через Booking.com, с указанием PII гостей..

Помимо бронирования отелей, раскрытые данные также включали в себя другие формы бронирования путешествий и гостеприимства. Они включали билеты в Eurodisney, гостевые трансферы между отелями и аэропортами, экскурсии и туры, а также билеты на поезд Eurostar.

Финансовые детали раскрыты

Наряду с открытыми данными PII, многие записи содержали счета, выставляющие финансовые детали турагентов и их клиентов.

База данных содержала счета-фактуры, прикрепленные к определенным бронированиям, сделанные с использованием кредитные карты, принадлежащие агентам и / или их клиентам. К ним относятся обычные, виртуальные и предоплаченные кредитные карты.

Ниже приведен пример бронирования, сделанного через Teldar Travel, с четко отображенными отредактированными данными кредитной карты..

Учетные данные для входа в учетную запись

Во время их расследования, наша команда просмотрела тысячи простых текстовых паролей, связанных с учетными записями на платформах, принадлежащих Gekko Group. 

В теории это могло бы позволить нам Войдите в личный кабинет и выполните определенные действия., в том числе:

• Бронирование на счету кредит 
• Отмена существующих бронирований 
• Доступ к счетам 
• Еще много возможностей

Сторонами, пострадавшими от взлома данных, была Всемирная организация здравоохранения. Наши исследователи просмотрели имена пользователей и пароли для учетной записи ВОЗ в Teldar Travel, потенциально предоставляя им доступ к большому кредитному счету ВОЗ и бюджету командировок на платформе.

Влияние нарушения данных

Повторим еще раз: это огромный объем данных, подлежащих раскрытию. Это представляет серьезный упадок в протоколах безопасности данных Gekko Group и ее дочерних компаний, с серьезными последствиями для многих пострадавших. 

Для Gekko Group и AccorHotels

Для двух компаний их соответствующих размеров и долей рынка, Ожидается, что Gekko Group и AccorHotels будут иметь более надежную защиту данных. 

Предоставляя такое огромное количество конфиденциальных данных, они, вероятно, столкнутся с серьезными вопросами о том, как это произошло, и об их более широких политиках безопасности данных для всех брендов, которыми они владеют.. 

Безопасность данных и конфиденциальность – две самые большие проблемы для всех потребителей онлайн. Любая компания, которая подвергает клиентов риску, столкнется с серьезными вопросами по поводу доверия и надежности, подрывая их репутацию и потенциально нанося ущерб их будущим доходам и росту..

Захват аккаунта 

С практической точки зрения нарушенный База данных также подвергла Gekko Group различным формам мошенничества и атак.

Учетные данные, которые просматривала наша команда, могут дать хакерам доступ к личным учетным записям пользователей на платформах бронирования, принадлежащих компании..

С этими, хакеры могут входить в аккаунты и списывать покупки с виртуальных кредитных карт, хранящихся в, максимально использовать их до того, как AccorHotels или Gekko Group смогут взимать с клиентов плату за бронирование и аналогичные бронирования..

Это может привести к серьезные убытки для компании.

Судебный иск

Базируется во Франции, со многими европейскими клиентами, AccorHotels и Gekko Group находятся в юрисдикции Европейского Союза и их правил GDPR. Утечка такого масштаба открывает обеим компаниям возможность судебного преследования, включая штрафы и судебные иски.

Для клиентов Gekko Group & Туристические агенты

Для компаний, использующих проприетарное программное обеспечение Gekko Group, передача аккаунта также является проблемой. Получая доступ к своим учетным записям пользователей и злоупотребляя их кредитными учетными записями, хакеры также наносят значительный ущерб этим гораздо меньшим предприятиям.. 

Даже если бы это было возможно, возвращение украденных средств будет долгим и дорогим процессом. 

Содержимое базы данных может также помочь хакерам и киберпреступникам поразить те же компании другими способами. Использование информации и доступа, они могут создавать эффективные фишинговые кампании или нацеливать компании на различные формы атак вредоносного программного обеспечения: вредоносные программы, шпионское ПО, вымогатели и т. д.. 

Существует множество способов атаковать компанию, использующую платформы Gekko Group, но у них всех есть одна общая черта: они будут разрушительными для целевых компаний. 

Для клиентов турагентов

С таким большим количеством PII и финансовых данных выставлены, клиенты турагентов, использующих платформу Gekko Group, также уязвимы для атак.

Информация, которую просмотрела наша команда, может быть использована разными способами. Одна из возможных тактик для хакеров – создание эффективных фишинговых кампаний.. Представляя себя отелями, агентами по бронированию или Teldar Travel, хакеры могут обманом заставить цели раскрыть дополнительную информацию. и использовать это, чтобы украсть у них, отправить вредоносное программное обеспечение, такое как вредоносные и шпионские программы, и украсть их личности. 

Эти кампании мошенничества не должны быть сложными. Учитывая размер раскрываемых данных, даже если только небольшое количество целей было успешно атаковано, хакеры считают это успешным. 

Совет от экспертов

Gekko Group могла бы легко избежать этой утечки если они приняли некоторые основные меры безопасности для защиты базы данных. Они включают, но не ограничиваются:

1. Защитите свои серверы.
2. Реализуйте правильные правила доступа.
3. Никогда не оставляйте систему, не требующую аутентификации, открытой для интернета..

Любая компания может повторить те же шаги, независимо от ее размера.

Более подробное руководство о том, как защитить свой бизнес, можно найти в нашем руководстве по защите вашего веб-сайта и в сети Gekko Group от хакеров..

Для клиентов Gekko Group

Свяжитесь с Gekko Group и убедитесь, что они предпринимают необходимые шаги для устранения любых потенциальных уязвимостей. 

А пока мы предлагаем изменение любых паролей и имен пользователей для платформы, принадлежащей Gekko Group. Это обеспечит отсутствие доступа злоумышленников в будущем, если ваши данные были раскрыты каким-либо образом. 

Для дополнительного уровня защиты, использовать генератор паролей для создания максимально безопасного пароля.

Мы также предлагаем тщательно проверять любое стороннее программное обеспечение и подрядчиков вы используете для гарантии соблюдения строгих протоколов безопасности данных.

Если вы обеспокоены тем, как уязвимости данных в целом могут повлиять на вашу конфиденциальность и безопасность, прочитайте наш полное руководство по конфиденциальности в Интернете.

Он показывает вам, как киберпреступники нацелены на интернет-пользователей, и шаги, которые вы можете предпринять, чтобы быть в безопасности.

Как и почему мы обнаружили нарушение

Исследовательская группа vpnMentor обнаружила нарушение в базе данных Gekko Group в рамках огромного веб-картографического проекта. Наши исследователи используют сканирование портов, чтобы исследовать определенные блоки IP и проверить открытые дыры в системах на наличие слабых мест. Они проверяют каждую дыру на предмет утечки данных. 

Когда они находят нарушение данных, они используют экспертные методы для проверки личности Gekko Group. Затем мы предупреждаем компанию о нарушении. Если возможно, мы также будем предупреждать тех, кто пострадал от нарушения.

Наша команда смогла получить доступ к этому серверу, потому что он был полностью незащищенным и незашифрованным. 

Компания использует базу данных Elasticsearch, которая обычно не предназначена для использования URL. Тем не менее, мы смогли получить к нему доступ через браузер и манипулировать критериями поиска в URL для раскрытия схем.    

Цель этого веб-картографического проекта – сделать Интернет безопаснее для всех пользователей.. Как этические хакеры, мы обязаны сообщать компании, когда мы обнаруживаем недостатки в их онлайн-безопасности. 

Однако эти этика также означает мы также несем ответственность перед обществом. Это особенно верно, когда взлом данных компаний содержит такой огромный объем частной и финансовой информации. 

О нас и предыдущих отчетах

vpnMentor является крупнейшим в мире веб-сайтом обзоров VPN. Наша исследовательская лаборатория является бесплатной службой, которая стремится помочь интернет-сообществу защитить себя от киберугроз, одновременно обучая организации защите данных своих пользователей. В прошлом мы обнаружили огромное нарушение данных, разоблачающее данные миллионов эквадорских граждан. Мы также обнаружили, что нарушение Biostar 2 поставило под угрозу биометрические данные более 1 миллиона человек. Вы также можете прочитать наш отчет об утечке VPN и отчет о конфиденциальности данных.