Notizia da far tremare i polsi, quella pubblicata il 6 novembre scorso dal team di sicurezza di Website Planet: un bucket AWS S3 malconfigurato ha esposto 24.4 GByte di dati dei clienti, ospitati sulla piattaforma Cloud Hospitality sviluppato dalla spagnola Prestige Software, un channel manager utilizzato per distribuire le informazioni relative all’occupazione delle camere utilizzato da piattaforme come Booking.com, Expedia, Hotels.com…
I channel manager sono piattaforme che sincronizzano i dati relativi all’occupazione e disponibilità degli alloggi attraverso i vari portali, permettendo di avere sempre aggiornati i dati delle strutture. Per poter svolgere il loro lavoro, i channel manager devono avere accesso ai dati delle piattaforme.
Dall’analisi dei dati risulterebbero esposte le informazioni dei clienti di queste piattaforme dal 2013 in poi, compresi oltre 180.000 record relativi all’agosto di quest’anno.
I ricercatori affermano che questo database era esposto e disponibile a chiunque fosse stato in grado d’individuarlo e purtroppo sappiamo bene quanto, in particolare negli ultimi periodi, i cybercriminali abbiano preso di mira le piattaforme cloud come AWS alla ricerca di falle. Si, esatto: come questa.
Anche se i ricercatori affermano che il bucket è stato messo in sicurezza e che non vi sono evidenze di sottrazione dei dati, non c’è molto di cui stare tranquilli: nei quasi 25 GByte sono presenti dati personali, tra cui –a quanto si vede negli screenshot pubblicati– numeri e scadenze di carte di credito.
Cos’è un Amazon AWS S3? Non sono particolarmente esperto dell’argomento, non avendone mai usati e avuto a che fare. Tuttavia, si tratta dell’Amazon Simple Storage Service, un cloud scalabile dove memorizzare dati e gestire
Una sua errata configurazione può esporre, pubblicamente in rete, i dati in esso memorizzati. In rete esistono decine di strumenti, tra cui scanners, per la ricerca di bucket “aperti”.
A questo punto, essendo il data breach avvenuto nel cyberspazio “europeo” e quindi soggetto alla normativa GDPR, attendiamo le notifiche “senza giustificato ritardo” per tutti i soggetti coinvolti nella violazione. Che, dalle informazioni riportate, potrebbero essere milioni di utenti in tutto il mondo.