Database di prenotazioni alberghiere esposto: militari e funzionari USA a rischio

Un team di pnMentor ha scoperto un database esposto da 179 GB del sistema di gestione delle prenotazioni di proprietà del Best Western Hotels.

Avatar di Dario D'Elia

a cura di Dario D'Elia

Il team di ricerca di vpnMentor ha scoperto una grave violazione in un database di Autoclerk, il sistema di gestione delle prenotazioni di proprietà del Best Western Hotels and Resorts Group, che ha esposto i profili cliente di migliaia di persone nel mondo – soprattutto militari, funzionari governativi e dipendenti del Dipartimento della sicurezza nazionale (DHS) degli Stati Uniti.

Gli specialisti in cyber-sicurezza Noam Rotem e Ran Locar hanno rilevato dati personali sensibili degli ospiti delle strutture e anche una panoramica completa sulle prenotazioni (circa 100mila) e gli spostamenti, compresi orari di check-in, numeri delle camere, etc. Si parla complessivamente di milioni di voci giornaliere pari a 179 GB di dati.

"Il nostro team ha visualizzato dati estremamente sensibili che esponevano i dettagli personali del personale governativo e militare e le loro modalità di viaggio in luoghi in tutto il mondo, sia passati che futuri", ha confermato vpnMentor. "Ciò ha rappresentato una grave violazione della sicurezza per le agenzie governative e i dipartimenti interessati".

Nello specifico il database esposto è stato scoperto il 13 settembre 2019, dopodiché è stato contattato il Computer Emergency Readiness Team (CERT) degli Stati Uniti – che però non ha fornito risposta. Il 19 settembre l'ambasciata degli Stati Uniti a Tel Aviv ha comunicato la mancanza di risposta da parte del CERT. Il 26 settembre un rappresentante del Pentagono ha assicurato la risoluzione del problema. Il 2 ottobre il database è stato chiuso su Amazon Web Servers negli Stati Uniti.

"Gran parte dei dati esposti provengono da piattaforme di viaggio e di ospitalità esterne che utilizzano la piattaforma del proprietario del database per interagire tra loro", ha aggiunto vpnMentor. "Le piattaforme client interessate includono i sistemi di gestione della struttura (PMS), i motori di prenotazione e i servizi dati nei settori del turismo e dell'ospitalità". Una delle piattaforme esposte nel database era appunto un contractor del governo degli Stati Uniti, dell'esercito e del DHS. Una società che gestisce le disposizioni di viaggio del governo e del personale militare degli Stati Uniti, nonché gli appaltatori indipendenti che lavorano con le agenzie di difesa e sicurezza americane.

Gli hacker avrebbero potuto usare i dati esposti per creare truffe complesse destinate alle aziende interessate, ai loro ospiti e al governo degli Stati Uniti. Si parla anche di frodi, phishing, atatcchi malware, etc.