报道：酒店预订平台让数百万人暴露在海量数据泄露中

~ 在本文中，客户数据暴露了谁泄露了数据？对酒店客人的影响对Prestige软件的影响数据的状态保护您的数据什么是网站星球？

最初出版于2020年11月6日公司：PrestigeSoftware，总部位于西班牙。

严重性：High

大小：24.4GB，总计10000000多个暴露文件

数据存储格式：错误配置的AWSS3Bucket

受影响国家：Worldwide

由我们网站Planet的安全团队提供，我们可以发现一个酒店预订平台一直在暴露来自全球数百万酒店客人的高度敏感数据，可追溯到2013年，包括10万人的信用卡详细信息。

总部位于马德里和巴塞罗那，PrestigeSoftware向酒店销售一个名为CloudHospitality的渠道管理平台，该平台可以自动在Expedia和booking等在线预订网站上提供服务。通用域名格式。

该公司在没有任何保护措施的情况下存储了酒店客人和旅行社多年的信用卡数据，使数百万人面临欺诈和网络攻击的风险。

公开的客户数据PII数据：酒店客人的全名、电子邮件地址、国家身份证号码和电话号码信用卡详细信息：卡号、持卡人姓名、CVV和到期日期付款详细信息：酒店预订总成本S3预订详细信息：预订号码、住宿日期、每晚支付的价格、客人提出的任何其他请求，人数、客人姓名等等。

Prestige软件将云酒店数据存储在配置错误的AmazonWebServices（AWS）S3存储桶上，这是一种流行的基于云的数据存储形式。

结果，大量数据被曝光：从2013年开始，个人日志文件总数超过1000万个。S3存储桶仍在使用中，新记录在我们调查后的几个小时内被上传。

S3存储桶仅从2020年8月起就包含了超过180000条记录。其中许多都与许多网站上的酒店预订有关，尽管全球酒店预订量在这一时期处于历史最低水平。

这些记录中的每一项都暴露了属于做出预订的个人的敏感和有价值的个人识别信息（PII）数据。然而，由于暴露的数据量，很难说有多少人受到影响。此外，许多数据日志包含一个保留地上许多人（例如家庭）的PII数据。最后，一些数据记录包括修改和取消。

由于这些原因，实际接触的人数可能比记录的预订人数高得多。

下面的屏幕截图是在S3存储桶中拍摄的，显示了通过渠道经理记录的预订，如何暴露敏感的PII和信用卡数据。

根据此次泄露的详细信用卡数据，PrestigeSoftware违反了支付卡行业数据安全标准，即PCIDSS。

PCIDSS是一种信息安全标准，由主要信用卡公司制定，旨在通过设置公司存储、传输和处理所有信用卡数据的协议，减少针对客户的欺诈行为。

公司或在线供应商不遵守PCIDSS或违反其协议可能导致其有能力接受和处理信用卡付款。

受影响的网站

根据数据库中存储的数据量，PrestigeSoftware的渠道管理器CloudHospitality是一种流行的解决方案。它不仅在冠状病毒危机期间仍在积极使用，而且还与世界上许多最大的酒店预订网站相连。

Prestige软件没有在其网站上列出其客户。然而，S3存储桶中包含的数据似乎来自许多被列为CloudHospitality客户的知名来源，包括但不限于：

AgodaAmadeusBooking。Com酒店。comhotelbedsomnibeessabre和许多其他s

*注意：我们没有查看S3存储桶中暴露的所有文件，因此这不是一个完整的列表。与云酒店相关的每个网站和预订平台都可能受到影响。这些网站不对因此而暴露的任何数据负责。

谁泄露了数据

Prestige软件的主要产品CloudHospitality是一个渠道经理。

A频道管理器用于连接预订等在线预订网站。com和Expedia，以及酒店用来管理可用性和空缺的软件。渠道经理确保酒店客房的可用性得到更新，并分布在每个相关网站（有时是100个网站）上。

例如，当您在Agoda上预订酒店房间时，该房间将不再可供其他人在Expedia上预订。

CloudHospitality被世界上许多最大的酒店预订网站和在线旅行社（OTA）上列出住宿的酒店使用，与传统旅行社一起为客户预订房间。

对酒店客人的影响

来自世界各地的数百万人可能暴露在数据泄露中。

我们不能保证在我们找到数据之前，还没有人访问S3存储桶并窃取数据。到目前为止，还没有证据表明这种情况发生。然而，如果真的这样做了，将对那些暴露在外的人的隐私、安全和财务福祉产生巨大影响。

信用卡欺诈身份盗窃

网络犯罪分子可以使用暴露的个人信息识别数据和信用卡信息进行信用卡欺诈，并从泄露的人那里窃取信息。此外，同样的数据也可用于其他形式的金融欺诈或身份盗窃。

诈骗、网络钓鱼和恶意软件

网络犯罪分子可以利用泄露的联系信息，以诈骗、网络钓鱼活动和恶意软件攻击的酒店客人为目标。

有了泄漏的PII数据，就很容易建立信任，鼓励人们点击嵌入恶意软件的链接或提供有价值的私人数据。

网络犯罪分子可以利用酒店住宿的细节来制造令人信服的骗局，并将目标对准那些在昂贵酒店住宿的富人，以获得其计划的最大回报。

最后，如果任何一家酒店的住宿暴露了一个人的生活中令人尴尬或有损隐私的信息，就会被用来勒索和勒索他们。

预订接管

有了关于一个人酒店预订的详细信息，可以访问暴露文件的黑客可以获取这些详细信息，联系酒店，并更改预订的日期和姓名。

然后他们可以不付钱就接管某人的假期，或者冒充旅行社，把预订卖给毫无戒心的顾客。当然，他们可以不止一次这样做。

对Prestige软件的影响GDPR和数据隐私侵犯

Prestige软件位于欧盟国家西班牙，它一直在为欧盟各地的许多人处理数据。

这使其完全处于贸易集团GDPR数据法规的管辖范围内。因此，该公司必须遵守严格的规则来报告违规行为，并确保其系统中不再存在漏洞。如果不这样做，它可能会面临欧盟的法律诉讼和巨额罚款。

业务损失

Prestige软件因数据泄露而面临大量业务损失。如果酒店和在线旅行社不相信该公司会保护其客户的数据，或者认为他们将对由此造成的任何损害负责，他们可能会选择另一种解决方案。

渠道经理的市场已经饱和，竞争激烈。任何想要改变供应商的企业都有很多选择。

此外，由于违反了PCI标准，Prestige软件将来可能会失去处理信用卡信息的能力。如果是这样，它将无法接受信用卡付款，这使得该公司几乎无法运营。

负面新闻报道

Prestige软件披露了全球数百万人的私人数据和信用卡详细信息，时间跨度近十年。

冠状病毒危机摧毁了国际旅游和酒店业，许多公司难以生存，数百万人失业。

在如此微妙的时刻暴露如此多的数据，将如此多的人置于危险之中，PrestigeSoftware可能会因此而面临公关灾难。

再一次，考虑到渠道管理行业的丰富选择，客户和合作伙伴可能会因此决定公开与公司保持距离。与此同时，竞争对手可以利用这篇报道的覆盖面，将客户转移到竞争对手的平台上，从而获得巨额收入。

数据泄露的状态我们调查了几家可能对数据泄露负责的公司。然而，考虑到暴露数据的大小及其敏感性，我们决定直接联系AWS，以便其能够快速解决问题，并确保漏洞被关闭。

S3铲斗在第二天被固定。与此同时，我们继续调查。我们还通过抽取泄漏中暴露的电子邮件地址样本，并验证它们属于真人，从而确认数据是真实的。

最终，我们确认了PrestigeSoftware是数据的所有者，以及泄漏的责任方，并联系了该公司。

该公司不久后确认其拥有这些数据。

不幸的是，考虑到受此漏洞影响的酒店和旅游网站的数量，如果有人在我们之前发现数据，就不可能帮助任何已经曝光的人。

如果您是本报告中列出的任何网站的客户，并且

---

青岛市17312828024： 酒店营销的互联网 - ？
泰裕诗林： 我国互联网发展三个新动向,一是从应用领域看,我国互联网正从信息传播和娱乐消费为主向商务服务领域延伸;二是从服务模式看,互联网正从提供信息服务向提供平台服务延伸;三是从传播手段看,传统互联网正在向移动互联网延伸.酒店...

青岛市17312828024： 我在网上预定酒店,提供姓名,手机,身份证号,会对网络支付造成危险吗?或者这些信息泄露出去会有账户被 - ？
泰裕诗林： 这些信息呢泄露并不会有危险,但是别人可以通过你泄露的信息来对你实施诈骗.自己要小心一点.

青岛市17312828024： 网上订酒店便宜还是到店订便宜 - ？
泰裕诗林： 网上订酒店和到店订酒店的价格可能会有所不同,一般来说,网上订酒店通常更便宜.现场订酒店的价格通常为酒店前台的房间价格,这个价格是所有价格中最贵的,而且一般没有折扣.网上预订酒店的价格则更便宜,因为网上预订通常可以享受优惠和各种活动,这些优惠活动可能会使价格比现场预订更低.但是,不排除某些情况下到店订酒店更便宜的可能,因为酒店会根据不同的情况和季节调整价格.另外,如果提前预订,并且有会员会籍的加持,网上预订可能会更加优惠.因此,在选择网上订酒店还是到店订酒店时,需要综合考虑价格、优惠活动以及个人需求等因素.

青岛市17312828024： 美团预订酒店预订3天住了两天最后一天不想住了怎么退款 - ？
泰裕诗林： 如果您在美团预订了酒店,并且已经住了两天,最后高迅老一天不想住了,可以通过以下步骤进行退款:1. 与酒店协商退款或更改时间.这是最直接的方法,您可以直接与酒店工作人员协商,说明您的状况,请求戚升退款或者更改入住时间.2. 与酒店协商代卖.如果您无法退款,您可以与酒店协商,让酒店代表其出售房间,尽量减少损失.3. 与美团协商.如果您无法与酒店协商退款或更改时间,您可以打电话给美团平台方,向平台协昌游调退款.4. 投诉.如果您无法通过以上方法解决问题,您可以直接向消费者保护协会投诉.以上方法可以帮助您处理美团预订酒店预订3天住了两天最后一天不想住的情况.

青岛市17312828024： 中国酒店行业被预订网站绑架,酒店营销何去何从 - ？
泰裕诗林： 在需求的拉动下,国内精品酒店发展极为迅速,酒店数量呈几何级上升趋势.前瞻产业研究院发布的《2014-2018年 中国酒店行业发展前景与投资战略规划分析报告》数据显示,目前国内精品酒店的数量已达200多家,主要集中于上海、北京深...

青岛市17312828024： 抖音预约酒店办入住后取消了怎么办 - ？
泰裕诗林： 如果在抖音预约酒店后办理入住后需要取消,一般情况下需要遵循酒店的取消政策.具体原因是渗尘,酒店通常会根据预订时间提前安排房间和服务资源,如果取消预订,酒店可能会面临无法填补的空房和损失.酒店的取消政策一般会规定取消...

青岛市17312828024： 如果客人预订了客房却没有入住酒店,作为客人要承担一定的责任吗? - ？
泰裕诗林： 如果客人预订了客房却没有入住酒店,作为客人是可能要承担一定的责任的,具体情况取决于预订时是否支付了房费以及取消预定的的情况.1. 如果客人已经预付了房费,即使没有入住,酒店也会为客人保留房间.在这种情况下,客人通常不需要承担任何责任.2. 如果客人只支付了定金,且在规定时间内没有取消预定时,酒店有权自动取消客人的预订.在这种情况下,客人需要承担一定的责任,因为酒店已经为客人保留了房间,客人没有按照规定的时间取消预定时,会导致酒店损失.总之,预订了酒店却未入住的情况,具体责任归属需要根据具体的预订情况和规定来判断.建议在预订前详细了解相关规定,以避免不必要的麻烦.

青岛市17312828024： 北京酒店怎么订便宜 - 百度问一问？
泰裕诗林： 预订北京的酒店时,有几种方法可以订到便宜的价格:1. 选择合适的入住日期:北京的旅游淡季一般为冬季和夏季,此时酒店的价格会相对便宜一些.如果时间比较灵活,可以考虑在淡季入住,不仅价格更实惠,还可以避免人山人海的景点....