【外判商失手】 Expedia、Agoda等訂房網站 過千萬用戶資料被公開

西班牙一間名為 Prestige Software 的應用服務開發商發生人為錯誤，令 AWS S3 bucket 內儲存的 24.4GB 資料變成公開任睇，而同大家最有關係的地方，是它的客戶包括 Agoda、Expedia、Hotels.com、Booking.com 等酒店預訂服務商，而有可能洩出的更包括客戶信用卡號碼及CVV等資料，好得人驚！

錯誤將雲端服務帳戶設定為公開的新聞，時有發生，例如去年 Samsung 儲存於 GitLab 內的 SmartThings 計劃內容，便因這類失誤而成就「無私分享」事件。而在恒常的網絡掃描期間，Website Planet 研究員就發現，Prestige Software 一個存在於 AWS S3 bucket 的帳戶被設定為公開，在毋須任何驗證下，即可進入該儲存位置讀取數據。經檢視後，研究員發現內裏儲存了超過 1,000 萬個客戶檔案，當中大部分來自酒店客戶，包括全名、身份證號碼、電號、電郵及信用卡上的詳細資料，如被黑客取得，將為客戶帶來難以估計的損失。

研究員指出，Prestige Software 其中一項主要服務是 Cloud Hospitality，可讓酒店業自動將訂房狀況即時與訂房網站更新，讓網民可進行預約及訂房事宜，所以該公司便儲存了大量酒店客戶的個人私隱資料，特別是涉及歐盟成員國的國家，所以如有黑客曾竊取這批資料，Prestige Software 將面臨歐盟的 GDPR 嚴厲懲罰。

除了將檔案設定為公開，錯誤或不了解地使用雲端服務，還可釀成其他洩密災難，例如開發者為求方便，將登入各種雲端應用服務的 secret key 留在 GitHub 等程式碼倉庫；又如 API 設定錯誤，讓黑客可繞過登入程序，直接讀取數據中心的資料。專家認為這些失誤都與忽視雲端安全架構有關，建議在審視雲端安全性時，應從整個架構考慮，以 Threat Modeling 方式，逆向檢視各種可用作發動攻擊的渠道並予以堵塞，才能減少事故發生。

資料來源： https://bit.ly/32DDHrb