Pārskats: AccorHotels meitasuzņēmums pakļauj viesnīcām un ceļotājiem lielu datu noplūdi

Noam Rotem un Ran Locar vadībā, vpnMentor pētījumu komanda atklāja a datu pārkāpums, kas pieder uzņēmumam Accor Hotels meitasuzņēmumam Gekko Group. 

Gekko Group, kas atrodas Francijā, ir a vadošā Eiropas B2B viesnīcu rezervēšanas platforma kam pieder arī vairāki mazāki viesmīlības zīmoli. 

Tajos ietilpst Teldar Travel & Infinite Hotel – divi zīmoli, kas mūsu komandas atklātajā datu bāzē ir visvairāk pakļauti. Tomēr tika atklāti arī daži dati no citiem Gekko Group piederošajiem zīmoliem. 

Attiecīgā datu bāze bija milzīga, un tajā bija vairāk nekā 1 terabaits datu. Tas ietvēra datus no Gekko grupas zīmoliem un viņu klientiem, kā arī datus ārējās vietnes un platformas, ar kurām viņu sistēmas sazinās, piemēram, Booking.com.

Šis pārkāpums ir a Gekko Group un tās meitasuzņēmumu nopietnais datu drošības pārtraukums, apdraudot klientu, klientu, AccorHotels un pašu uzņēmumu privātumu.

Gekko Group uzņēmuma profils

Gekko grupa, kas dibināta 2010. gadā un atrodas Francijā, galvenokārt darbojas Eiropas viesmīlības tirgū, bet tai ir biroji visā pasaulē. B2B viesnīcu rezervēšanas platforma, tai pieder arī daudz mazāku zīmolu. Visu šo zīmolu ietvaros, Gekko Group ir apvienota klientu bāze 600 000 viesnīcu visā pasaulē, ar interesēm uzņēmumu ceļojumos, atpūtas ceļojumos, viesnīcu inventarizācijā un datu izplatīšanā.

2023. gadā AccorHotels – lielākais viesmīlības uzņēmums Eiropā un sestais lielākais visā pasaulē – iegādājās Gekko Group. Tajā laikā Gekko grupas vērtība bija 117 miljoni USD.

Teldar Travel

Uzņēmums Teldar Travel ir Gekko grupas īpašumā esoša Eiropas B2B viesnīcu rezervēšanas sistēma, kas paredzēta ceļojumu aģentiem. Platforma apgalvo, ka savieno vairāk nekā 14 000 ceļojumu aģentus ar 1 000 000 izmitināšanas pakalpojumu sniedzējiem visā pasaulē, kā arī transporta iespējas.

Tas palīdz ceļojumu aģentiem rezervēt un racionalizētā procesā pārvaldīt izmitināšanu, transportu un dažādas citas aktivitātes saviem klientiem.

Bezgalīgas viesnīcas 

Arī pieder uzņēmumam Gekko Group, Infinite Hotels pārvalda vairumtirdzniecības inventāra un rezervācijas datu izplatīšanu kas attiecas uz izmitināšanas pakalpojumu sniedzējiem dažādās ar ceļošanu saistītās tiešsaistes platformās.

Atklāšanas laika grafiks un īpašnieka reakcija

Dažreiz datu pārkāpuma pakāpe un datu īpašnieks ir acīmredzami, un problēma ātri tika atrisināta. Bet reti ir šie laiki. Visbiežāk mums ir vajadzīgas izmeklēšanas dienas, lai saprastu, kas ir uz spēles vai kurš noplūst.

Izpratne par pārkāpumu un to, kas ir apdraudēts, prasa īpašu uzmanību un laiku. Mēs smagi strādājam, lai publicētu precīzus un uzticamus pārskatus, nodrošinot, ka visi, kas tos lasa, saprot viņu nopietnību.

Dažas skartās puses noliedz faktus, neņemot vērā mūsu pētījumu vai mazinot tā ietekmi. Tāpēc mums jābūt rūpīgiem un jāpārliecinās, ka viss, ko atrodam, ir pareizs un patiess.

Šajā gadījumā, datu bāzē bija faili, kas pieder daudziem Gekko Group zīmoliem un ārējām platformām. Sākotnēji nebija skaidrs, tieši kurai markai datu bāze pieder. Tā kā dati tika iegūti no daudziem avotiem, komandai bija jāsalīdzina dati ar dažādiem zīmoliem, lai pārliecinātos, ka tie visi atbilst. 

Tiklīdz mēs apstiprinājām Gekko Group kā datu bāzes īpašnieku, mēs mēģinājām sazināties ar AccorHotels un viņu datu konfidencialitātes inspektoru paziņot viņiem par pārkāpumu un palīdzēt atrisināt problēmu. 

Kad tas neizdevās, mūsu komanda tieši sazinājās ar Gekko Group, kā arī viņu GDPR virsnieks. 

Joprojām nesaņemot atbildes no AccorHotels vai Gekko Group, mēs sazinājāmies ar viņu mitināšanas uzņēmumu un galu galā ar Komisijas Nationale de l’Informatique et des Libertés (CNIL) – Francijas neatkarīgo regulatīvo iestādi datu drošības un privātuma jomā..

Visbeidzot, 13. novembrī, Pēc nedēļas e-pastu nosūtīšanas mēs saņēmām atbildi no AccorHotels ar jautājumu par noplūdi. Gandrīz tūlīt pēc tam tas tika slēgts. Mēs pienācīgi saņēmām AccorHotels pateicības rakstu, kas apstiprina noplūdes slēgšanu. Viņi arī attiecīgi informēja Gekko Group.

• Atklāšanas datums: 7/11
• Datums, kad pārdevēji sazinājās: 7/11
• Otrā kontakta mēģinājuma datums (ja attiecināms): 10/11
• Atbildes datums: 13/11
• Darbības datums:13/11

Atsegto datu piemēri

Kompromitētā datu bāze, kas tika mitināta Francijā uz serveriem, kas pieder OVH SA, bija milzīga, un tajā bija aptuveni 1 TB datu. 

Kamēr dati piederēja AccorHotels – izmantojot to īpašumtiesības uz Gekko Group -, tie bija iegūti no daudziem dažādiem uzņēmumiem Gekko Group. Lielākā daļa datu tika iegūti no diviem avotiem: Teldar Travel & Bezgalīgas viesnīcas.

Tā kā Gekko Group zīmoli kalpo ļoti atšķirīgām funkcijām, mūsu komandai bija pieejams ļoti daudzveidīgs datu veids, ieskaitot:

• Viesnīcu un transporta rezervācija
• Informācija par kredītkarti
• Dažādu personu personiski identificējama informācija (PII)
• Pieteikšanās akreditācijas dati par klientu kontiem Gekko Group piederošajās platformās
• utt.

Kā šie uzņēmumi mijiedarbojas ar daudzām ārējām platformām ceļojumu un viesmīlības nozarē, datu bāzē bija arī dati, kas iegūti no platformām ārpus Gekko grupas jumta.

Šīs atklātās viesnīcas, ceļojumu aģentūras un viņu klienti visā pasaulē, daudziem no kuriem nebija tiešu attiecību ar Gekko Group vai tās zīmoliem. 

Mūsu komanda apskatīja datu bāzi ieraksti daudzās valodās, kuru izcelsme ir daudzās dažādās valstīs, galvenokārt Eiropā. Tajos ietilpa šādu valstu pilsoņi:

• Spānija 
• Apvienotā Karaliste
• Nīderlande 
• Portugāle 
• Francija
• Beļģija
• Itālijā
• Izraēla

Ceļojumu rezervēšana & PII

Lielākā daļa mūsu apskatīto datu tika iegūti no divām Gekko Group piederošajām platformām: Teldar Travel un Infinite Hotel. Abas platformas apkalpo atsevišķas funkcijas, kas saistītas ar naktsmītņu rezervēšanu un datiem. 

Tā kā tā darbojās kā ceļojumu aģentu rezervēšanas platforma, ieraksti datu bāzē, kas saistīti ar izmitināšanu un transporta rezervēšanu, lielākoties tika iegūti no Teldar Travel. 

Ikreiz, kad ceļojumu aģents izmantoja platformu klienta rezervācijas veikšanai, ieraksts tika reģistrēts Gekko Group datu bāzē.

Šajās atrunās atklātie dati ietvēra:

• Pilni vārdi
• E-pasta adreses
• Mājas adreses
• Bērnu PII 
• Ceļojumu datumi
• Galamērķa viesnīcas
• Informācija par rezervāciju (viesu skaits, numuru veidi utt.)
• Uzturēšanās cena
• Dati no ārējām rezervēšanas platformām (ti, Booking.com)

Tā kā Teldar Travel mijiedarbojas ar daudzām citām izmitināšanas un ceļojumu platformām, datu bāzē bija arī ievērojams datu apjoms no ārējiem avotiem. 

Iekļautas ārējās platformas, kuru dati tika atklāti mijiedarbības dēļ ar Gekko Group piederošajām platformām:

• Occius – Spānijas ceļojumu platforma
• Infra – franču radošā aģentūra
• Smile – Francijas digitālās pieredzes un tīmekļa attīstības aģentūra
• Mondial Assistance – Polijas ceļojumu platforma
• Selectour.com – Francijas tiešsaistes ceļojumu aģentūra
• Booking.com – starptautiska viesnīcu rezervēšanas platforma
• Hotelbeds.com – starptautiska viesnīcu rezervēšanas platforma

Zemāk ir vietnes Booking.com veiktas rezervācijas piemērs, atklājot viesu PII.

Nerunājot par viesnīcu rezervēšanu, atklātie dati ietvēra arī citus ceļošanas un viesmīlības veidus. Tajās ietilpa biļetes uz Eurodisney, viesu pārsūtīšana starp viesnīcām un lidostām, ekskursijas un ekskursijas, kā arī biļetes uz Eurostar vilcienu.

Atklāta finanšu informācija

Kopā ar atklātiem PII datiem, daudzos ierakstos bija rēķini, kas atklāja finanšu informāciju par ceļojumu aģentiem un viņu klientiem.

Datubāzē bija pievienoti rēķini, kas pievienoti noteiktām atrunām, izmantojot kredītkartes, kas pieder aģentiem un / vai viņu klientiem. Tajās ietilpa parastās, virtuālās un priekšapmaksas kredītkartes.

Zemāk ir piemērs rezervācijai, kas veikta, izmantojot Teldar Travel, skaidri parādot rediģētu kredītkartes informāciju.

Konta pieteikšanās akreditācijas dati

Viņu izmeklēšanas laikā, mūsu komanda apskatīja tūkstošiem vienkārša teksta paroļu, kas saistītas ar kontiem Gekko Group piederošajās platformās. 

Teorētiski tas mums varēja ļaut piesakieties privātajos kontos un veiciet noteiktas darbības, ieskaitot:

• Rezervēšana konta kontā 
• Esošo rezervāciju atcelšana 
• Piekļuve rēķiniem 
• Daudz vairāk iespēju

Starp datu pārkāpumos iesaistītajām pusēm bija Pasaules Veselības organizācija. Mūsu pētnieki apskatīja PVO konta lietotājvārdus un paroles vietnē Teldar Travel, potenciāli dodot viņiem piekļuvi PVO lielajam kredītkontam un ceļojuma budžetam platformā..

Datu pārkāpuma ietekme

Atkārtojot, tas ir milzīgs datu daudzums, kas jāatklāj. Tas pārstāv nopietns Gekko grupas un tās meitasuzņēmumu datu drošības protokolu darbības pārtraukums, kas nopietni ietekmē daudzos skartos cilvēkus. 

Gekko Group un AccorHotels

Diviem uzņēmumiem pēc to lieluma un tirgus daļas, Gekko Group un AccorHotels varētu būt drošāka datu drošība. 

Atklājot tik lielu sensitīvu datu daudzumu, viņi, iespējams, saskarsies ar nopietniem jautājumiem par to, kā tas notika, un viņu plašākām datu drošības politikām par visiem viņu īpašumā esošajiem zīmoliem. 

Datu drošība un privātums ir visas tiešsaistes patērētājus visvairāk satraucošas. Ikviens uzņēmums, kas pakļauj klientus riskam, saskarsies ar nopietniem jautājumiem par uzticēšanos un uzticamību, sabojājot viņu reputāciju un, iespējams, kaitējot nākotnes ieņēmumiem un izaugsmei.

Konta pārņemšana 

No praktiskā viedokļa pārkāpums datu bāze arī atklāja Gekko Group dažādiem krāpšanas un uzbrukuma veidiem.

Pieteikšanās akreditācijas dati, kurus apskatīja mūsu komanda, varētu dot hakeriem piekļuvi privātiem lietotāju kontiem rezervēšanas platformās, kas pieder uzņēmumam.

Ar šiem, hakeri varēja ienākt kontos un iekasēt pirkumus no virtuālajām kredītkartēm, kas tiek glabātas tajā, to palielināšana pirms AccorHotels vai Gekko Group var iekasēt maksu no klientiem par rezervējumiem un līdzīgām rezervēšanām.

Tas varētu novest pie nopietni zaudējumi uzņēmumam.

Legāla darbība

Atrodas Francijā, ar daudziem Eiropas klientiem, AccorHotels un Gekko Group atrodas Eiropas Savienības jurisdikcijā un to GDPR noteikumi. Šāda apjoma noplūde abus uzņēmumus atver potenciālai tiesvedībai, ieskaitot naudas sodus un tiesas prāvas.

Gekko grupas klientiem & Ceļojumu aģenti

Uzņēmumiem, kas izmanto Gekko Group patentēto programmatūru, bažas rada arī kontu pārņemšana. Piekļūstot viņu lietotāju kontiem un ļaunprātīgi izmantojot savus kredītkontus, hakeri arī nodarīs būtisku kaitējumu šiem daudz mazākajiem uzņēmumiem. 

Pat ja tas būtu iespējams, nozagtu līdzekļu atgūšana būtu ilgs un dārgs process. 

Datubāzes saturs varētu arī palīdzēt hakeriem un kibernoziedzniekiem mērķēt tos pašus uzņēmumus citos veidos. Informācijas un piekļuves izmantošana pakļauta, viņi varētu izveidot efektīvas pikšķerēšanas kampaņas vai mērķēt uzņēmumus ar dažāda veida ļaunprātīgas programmatūras uzbrukumiem: ļaunprātīgu programmatūru, spiegprogrammatūru, ransomware un citu. 

Ir daudz veidu, kā uzņēmumam, kas izmanto Gekko Group platformas, var uzbrukt, taču viņiem visiem ir viena kopīga iezīme: tie būtu postoši uzņēmumiem, uz kuriem tie attiecas. 

Ceļojumu aģentu klientiem

Atklājot tik daudz PII un finanšu datu, pret uzbrukumiem ir neaizsargāti arī to ceļojumu aģentu klienti, kuri izmanto Gekko grupas platformu.

Informācija, kuru mūsu komanda apskatīja, varēja tikt izmantota daudzos veidos. Viena no potenciālajām hakeru taktikām būtu efektīvu pikšķerēšanas kampaņu izveidošana. Izlikoties kā viesnīcas, rezervācijas aģenti vai Teldar Travel, hakeri var pievilināt mērķus, atklājot papildu informāciju un, izmantojot to, lai nozagtu no viņiem, nosūtītu ļaunprātīgu programmatūru, piemēram, ļaunprātīgu programmatūru un spiegprogrammatūru, un nozagtu viņu identitāti. 

Šīm krāpšanas kampaņām nav jābūt sarežģītām. Ņemot vērā atklājamo datu lielumu, pat ja veiksmīgi tiek uzbrukuši tikai nedaudziem mērķiem, hakeri to uzskatīs par veiksmi. 

Ekspertu ieteikumi

Gekko Group varēja viegli izvairīties no šīs noplūdes ja viņi būtu veikuši dažus pamata drošības pasākumus datu bāzes aizsardzībai. Tie ietver (bet ne tikai):

1. Nostipriniet savus serverus.
2. Ieviesiet atbilstošus piekļuves noteikumus.
3. Nekad neatstājiet internetam atvērtu sistēmu, kurai nav nepieciešama autentifikācija.

Jebkurš uzņēmums var atkārtot tās pašas darbības neatkarīgi no tā lieluma.

Lai iegūtu padziļinātu ceļvedi par sava biznesa aizsardzību, iepazīstieties ar mūsu ceļvedi, kā nodrošināt jūsu vietni un tiešsaistes Gekko Group no hakeriem..

Gekko grupas klientiem

Sazinieties ar Gekko Group un pārliecinieties, ka tie veic nepieciešamos pasākumus, lai novērstu iespējamās ievainojamības. 

Pa to laiku mēs iesakām mainot visas paroles un lietotājvārdus platformā, kas pieder Gekko Group. Tas nodrošinās ļaunprātīgu dalībnieku piekļuvi nākotnē, ja jūsu dati tiks jebkādā veidā pakļauti. 

Papildu aizsardzības slānim, lieto paroļu ģenerators, lai izveidotu pēc iespējas drošāku paroli.

Mēs arī iesakām rūpīgi pārbaudot trešo personu programmatūru un darbuzņēmējus jūs izmantojat, lai garantētu, ka viņi ievēro stingrus datu drošības protokolus.

Ja jums ir bažas par to, kā datu ievainojamība kopumā var ietekmēt jūsu privātumu un drošību, lasīt mūsu pilnīgs tiešsaistes privātuma ceļvedis.

Tas parāda daudzos veidus, kā kibernoziedznieki mērķē uz interneta lietotājiem, un darbības, kuras varat veikt, lai saglabātu drošību.

Kā un kāpēc mēs atklājām pārkāpumu

Pētniecības grupa vpnMentor atklāja pārkāpumu Gekko Group datu bāzē kā daļu no milzīga tīmekļa kartēšanas projekta. Mūsu pētnieki izmanto portu skenēšanu, lai pārbaudītu noteiktus IP blokus un pārbaudītu, vai sistēmās nav atvērtu caurumu. Viņi pārbauda katru caurumu, vai nav datu noplūdes. 

Kad viņi atrod datu pārkāpumu, viņi izmanto ekspertu paņēmienus, lai pārbaudītu Gekko grupas identitāti. Pēc tam mēs brīdinām uzņēmumu par pārkāpumu. Ja iespējams, mēs brīdināsim arī tos, kurus skāris pārkāpums.

Mūsu komandai varēja piekļūt šim serverim, jo ​​tas bija pilnīgi nenodrošināts un nešifrēts. 

Uzņēmums izmanto Elasticsearch datu bāzi, kas parasti nav paredzēta URL lietošanai. Tomēr mēs varējām tam piekļūt, izmantojot pārlūkprogrammu, un manipulēt ar URL meklēšanas kritērijiem, atklājot shēmas.    

Šī tīmekļa kartēšanas projekta mērķis ir palīdzēt padarīt internetu drošāku visiem lietotājiem. Kā ētiskiem hakeriem mums ir pienākums informēt uzņēmumu, kad mēs atklājam nepilnības viņu tiešsaistes drošībā. 

Tomēr arī šī ētika nozīmē mēs arī uzņemamies atbildību pret sabiedrību. Tas jo īpaši attiecas uz gadījumiem, kad uzņēmumu datu pārkāpumos ir tik daudz privātas un finanšu informācijas. 

Par mums un iepriekšējie ziņojumi

vpnMentor ir pasaulē lielākā VPN pārskatu vietne. Mūsu pētījumu laboratorija ir pro bono pakalpojums, kura mērķis ir palīdzēt tiešsaistes kopienai aizsargāties pret kiberdraudiem, vienlaikus izglītojot organizācijas par savu lietotāju datu aizsardzību. Agrāk mēs esam atklājuši milzīgu datu pārkāpumu, atklājot miljoniem Ekvadoras pilsoņu datus. Mēs arī atklājām, ka Biostar 2 pārkāpums apdraudēja vairāk nekā 1 miljona cilvēku biometriskos datus. Varat arī izlasīt mūsu ziņojumu par VPN noplūdi un datu privātuma statistiku.