Un groupe français expose les données de millions de voyageurs

Un serveur non sécurisé gorgé de données personnelles a été découvert sur la toile. Celui-ci expose les informations sensibles de millions de voyageurs, visiblement recueillies par un grand groupe hôtelier venu de France.

Les chercheurs de Cybernews ont découvert « un serveur Elasticsearch non protégé » associé à une interface Kibana sur la toile. Ce serveur, accessible à n’importe qui sans la moindre protection, contenait des données personnelles au sujet de millions d’individus ayant voyagé dans des hôtels européens.

Une chaine hôtelière à l’origine de la fuite

Comme l’a révélé l’enquête de Cybernews, le serveur comprenait « près de 25 millions d’enregistrements de données » relatifs à des clients d’hôtels. Il semble que les informations appartiennent à une grande chaine hôtelière. Les investigations pointent vers le groupe Honotel, un acteur majeur de l’hôtellerie en France et en Europe, qui gère plus de 50 hôtels situés dans des grandes villes.

Quelles données sensibles étaient exposées ?

Parmi les données personnelles exposées par mégarde, on trouve les noms, les adresses mail, les numéros de téléphone, les dates de naissance, les codes des pays de provenance, les langues parlées, des informations sur les visites à l’hôtel, les détails des séjours (incluant l’heure d’arrivée, le nombre de nuits réservées, le prix payé et le nombre d’invités), les points de fidélité accumulés, et les identifiants des propriétés, c’est-à-dire les codes uniques attribués à chaque établissement hôtelier. Par le biais de l’interface Kibana, il était possible de visualiser et d’explorer les données stockées, par exemple pour rechercher un individu en particulier.

C’est évidemment une catastrophe en matière de vie privée et de confidentialité. De plus, ces informations peuvent être exploitées par des cybercriminels. En se servant des données exposées, des pirates peuvent mettre au point des attaques de phishing particulièrement convaincantes, ou orchestrer des tentatives d’usurpation d’identité.

Pour le moment, il n’y a aucune preuve indiquant que les données exposées ont été consultées par des cybercriminels. Comme le souligne le rapport, le RGPD (Règlement Général sur la Protection des Données) oblige les entreprises à signaler toutes les fuites de données dans un délai de 72 heures. En cas de violation, le groupe aurait donc prévenu les autorités. Évidemment, il est toujours envisageable que les informations ont été consultées sans que personne s’en soit rendu compte.

Source : Cybernews & 01net

21 Janvier 2025

À lire également

​