image

Reserveringssysteem lekt 179GB aan data van hotelgasten

maandag 21 oktober 2019, 16:12 door Redactie, 6 reacties

Een reserveringssysteem dat door tal van hotels, reisbureaus en accommodaties wordt gebruikt heeft via een open database 179GB aan data van hotelgasten en reizigers gelekt. De database was afkomstig van AutoClerk, een reserveringssysteem dat eigendom van Best Western Hotels is en door allerlei partijen en externe platformen wordt gebruikt.

Onderzoekers van vpnMentor ontdekten de database, die miljoenen records bleek te bevatten. Het ging onder andere om naam, geboortedatum, adresgegevens, telefoonnummer, datums, reiskosten, gemaskeerde creditcardgegevens, kamernummers en inchecktijd. Eén van de platformen die op de database is aangesloten is van een bedrijf dat de reisplannen van de Amerikaanse overheid en militair personeel beheert, alsmede onafhankelijke aannemers die voor Amerikaanse defensie- en veiligheidsdiensten werken.

In de database werden persoonsgegevens en reisplannen van deze personen gevonden. Het ging onder andere om gegevens van Amerikaanse generaals, waaronder hun e-mailadressen, telefoonnummers en andere gevoelige persoonlijke data. De database werd op 13 september ontdekt, waarna het United States Computer Emergency Readiness Team (US-CERT) werd benaderd. De onderzoekers stellen dat US-CERT niets met de melding deed. Vervolgens benaderden de onderzoekers op 26 september een contact bij het Pentagon, waarna de database op 2 oktober werd beveiligd.

Reacties (6)
21-10-2019, 18:44 door Anoniem
Wanneer wordt er eens een wettelijk maximum gesteld aan de capaciteit van een database.
Want waarom worden databases zo groot? Omdat men eeuwig en altijd alles van iedereen wil bewaren,
hetgeen een aanslag is op je privacy, waarmee ze des te aantrekkelijker worden voor criminelen om te hacken.
22-10-2019, 02:41 door Anoniem
't Is Trump die probeert hotelgasten naar zijn slechter presterende hotels en resorts om te buigen.
Zo zijn er weer wat bungalows in het Trump National Doral resort vrijgekomen voor juni volgend jaar.
22-10-2019, 08:25 door Anoniem
Waarom bevatten reserveringssystemen zoveel informatie, dit is al jaren een privacy issue, ook bij globale reserveringsystemen
22-10-2019, 09:13 door Anoniem
Hoe groot een database is vind ik niet interessant. Hoe het beveiligd is lijkt veel belangrijker (even los van het feit dat het inderdaad niet nodig zou moeten zijn data (die te herleiden is tot een persoon) "oneindig" lang te bewaren)

Maar waarom er blijkbaar nog steeds hele volksstammen zijn die dit soort databases opzetten en niet de moeite nemen om deze standaard te versleutelen is mij een compleet raadsel....

Encryption in rest; encryption in transit zou toch redelijk standaard moeten zijn ?

DDK
22-10-2019, 11:52 door Anoniem
Door Anoniem: Hoe groot een database is vind ik niet interessant. Hoe het beveiligd is lijkt veel belangrijker (even los van het feit dat het inderdaad niet nodig zou moeten zijn data (die te herleiden is tot een persoon) "oneindig" lang te bewaren)

Maar waarom er blijkbaar nog steeds hele volksstammen zijn die dit soort databases opzetten en niet de moeite nemen om deze standaard te versleutelen is mij een compleet raadsel....

Encryption in rest; encryption in transit zou toch redelijk standaard moeten zijn ?

DDK

Vergeet de 'encryption in use' niet. Iets moeilijker te implementeren maar niet onmogelijk en verdient steeds meer aandacht. Vaak worden er actieve databases leeggetrokken, dan is enige vorm van in use encryptie wel gewenst lijkt me.
22-10-2019, 12:07 door Anoniem
Door Anoniem: Wanneer wordt er eens een wettelijk maximum gesteld aan de capaciteit van een database.
Want waarom worden databases zo groot? Omdat men eeuwig en altijd alles van iedereen wil bewaren.
Was is eeuwig? Kan gerust maar een jaar aan data zijn. En ik wil toch echt graag mijn vorige boekingen zien van mijn hotels.


Door Anoniem: Hoe groot een database is vind ik niet interessant. Hoe het beveiligd is lijkt veel belangrijker (even los van het feit dat het inderdaad niet nodig zou moeten zijn data (die te herleiden is tot een persoon) "oneindig" lang te bewaren)
Omdat dit vaak een basis bestaansrecht is van de database is? Zeker voor reserveringen. Je wilt graag je vorige boekingen terug kunnen zien en eventueel opnieuw kunnen boeken.

Maar waarom er blijkbaar nog steeds hele volksstammen zijn die dit soort databases opzetten en niet de moeite nemen om deze standaard te versleutelen is mij een compleet raadsel....
Omdat het veel van de data lekken ook niet oplost? Immers daar heeft men gewoon directe database toegang.

Encryption in rest; encryption in transit zou toch redelijk standaard moeten zijn ?

DDK

Encryptie in transit is bijna vrij standaard, en lost eigenlijk niets niet voor dit soort data lekken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.