专门提供架站服务的Website Planet近日披露,他们发现网络软件开发商Prestige Software出售给饭店企业的渠道管理平台Cloud Hospitality,因于AWS S3存储贮体的配置错误,暴露了Agoda、Booking.com及Expedia等客户的房客资料,波及全球上千万名的饭店房客,包括10万名房客的信用卡信息。
Cloud Hospitality平台可连接各个线上订位系统,以管理所有的空房,例如当用户预订了Agoda的某个房间时,该房间就不会再现身于Expedia。服务于Website Planet的全栈网页开发人员Mark Holden表示,Prestige Software把Cloud Hospitality资料存放在配置错误的AWS S3存储贮体中,造成超过1,000万名的个人文件曝光,这些文件最早可追溯至2013年,且在调查当时仍持续上传记录。
该存储贮体总计存放了24.4GB的资料,且每笔记录都暴露了房客的个人信息,从姓名、电子邮件地址、身份证字号到电话号码等,以及10万名房客的姓名、信用卡号码、认证码及到期日,再加上房客的订房金额、订位代号、居住的日期、每晚价格、特殊要求、住房人数到房客名称等详细信息,而且受害者遍及全球。
值得注意的是,Prestige Software的客户都是鼎鼎有名的企业,使得该存储贮体所曝光的客户信息涵盖Agoda、Booking.com、Expedia、Amadeus、Hotels.com、Hotelbeds、Omnibees与Sabre等,而且Website Planet并未列出所有受影响的客户名单。
Prestige Software总部位于西班牙,意味着它受到欧盟《通用资料保护规则》(General Data Protection Regulation,GDPR)的规范,Holden猜测它将因此面临庞大的罚款,而消费者则可能遭遇身份窃盗等问题。Prestige Software在接到Website Planet的通知之后,已解决了该问题。