Une filiale d’AccorHotels expose 1 téraoctet de données
Filiale du groupe français AccorHotels, Gekko possédait une base de données non protégées, laissant accéder à 1 téraoctet de données de réservations, dont des noms et des détails de cartes bancaires.
Pas moins de 1 téraoctet de données de l’entrepise Gekko, filiale du groupe français AccorHotels, étaient accessibles via un serveur non sécurisé. Découverte par les chercheurs en cybersécurité de la société israélienne VPNMentor, la brèche béante permettait d'accéder à des données de cartes de crédit, des mots de passe ou encore à des historiques des réservations d'hôtel et de transport, incluant des informations personnelles (noms, adresses e-mail, adresses postales, etc.)
Gekko est l'un des principaux fournisseurs européens de plateformes de réservation hôtelière B2B. La société édite notamment Teldar Travel et Infinite Hotel, solutions de réservation s'adressant aux agences de voyages et aux hôtels indépendants. Ces sont les données de ces deux solutions qui ont été les plus exposées. Des sites web et plates-formes externes sont aussi concernées, notamment Booking.com.
Les chercheurs de VPNMentor expliquent sur leur blog avoir contacté AccorHotels et Gekko une fois certains que la base de données exposée leur appartenait. Sans réponse, ils ont fini par s'adresser à la CNIL (Commission Nationale de l'Informatique et des Libertés). Au regard du RGPD, une brèche de cette ampleur ouvre la porte à des poursuites judiciaires, rappelle VPNMentor.
De son côté, la filiale du groupe AccorHotels a relativisé les conséquences potentielles de cette brèche désormais colmatée. Le dirigeant de Gekko a ainsi affirmé au quotidien français Le Parisien que les données de 900 cartes de crédit exposées n’étaient pas complètes (pas de cryptogramme visuel). Selon lui, aucune utilisation frauduleuse de ces données n’a pour l’heure été détectée.
