Blog

Rapport : 700 000 dossiers de clients de Choice Hotels ont été divulgués

Des pirates informatiques affirment avoir volé les dossiers de 700 000 clients appartenant à Choice Hotels, l'une des plus grandes chaînes hôtelières au monde. Comparitech a collaboré avec le chercheur en sécurité Bob Diachenko pour découvrir la base de données non sécurisée, qui est restée exposée et accessible à toute personne disposant d'une connexion Internet.

Diachenko a immédiatement informé l'entreprise de l'instance MongoDB exposée, mais il semble que des acteurs malveillants y soient parvenus en premier. Ils ont laissé une note de rançon exigeant 0,4 Bitcoin, soit 3 856 $ au moment de la rédaction.

La base de données contenait 5,6 millions d'enregistrements. Cependant, Choice Hotels a déclaré à Comparitech dans un e-mail que la majorité des enregistrements étaient « des données de test, non associées à de vraies personnes ». Environ 700 000 dossiers contenaient des détails sur les invités réels, notamment leurs noms, adresses e-mail et numéros de téléphone.

L'entreprise ditles données étaient hébergées sur le serveur d'un fournisseur, et aucun serveur Choice Hotels n'a été consulté. 'Le fournisseur travaillait avec les données dans le cadre d'une proposition visant à fournir un outil', a déclaré à Comparitech un représentant de l'entreprise.

Choice Hotels a répondu à Comparitech par e-mail et a inclus la déclaration suivante :

« Nous avons discuté de cette question avec le fournisseur et ne travaillerons plus avec lui à l'avenir. Nous évaluons d'autres relations avec d'autres fournisseurs et travaillons à mettre en place des contrôles supplémentaires pour éviter tout problème futur de cette nature. Nous établissons également un programme de divulgation responsable et nous apprécions l’aide de M. Diachenko pour nous aider à identifier toute lacune.

La société poursuit son enquête au moment de la rédaction de cet article.

Chronologie de la violation

La base de données MongoDB a été rendue publique sans mot de passe ni autre authentification requise pour y accéder. Voici ce qui s'est passé :

30 juin :La base de données exposée a été indexée pour la première fois par le moteur de recherche BinaryEdge.
2 juillet :Le chercheur en sécurité Bob Diachenko a découvert la base de données et a immédiatement informé Choice Hotels de l'exposition. Il contenait déjà la demande de rançon. Choice Hotels affirme avoir involontairement filtré l'e-mail afin qu'il ne soit pas lu.
2 juillet :L'accès à la base de données a été sécurisé.
28 juillet :Diachenko a envoyé une deuxième notification et Choice Hotels a commencé son enquête sur l'incident.

La base de données est restée exposée pendant quatre jours.

La demande de rançon laissée par les pirates était déjà en place au moment où Diachenko a découvert la base de données. Diachenko émet l'hypothèse que la note a été laissée par un script automatisé ciblant les bases de données MongoDB accessibles au public. Il suppose que le script avait pour but d'effacer la base de données après l'avoir copiée, mais qu'il a échoué.

Diachenko a déterminé que les informations contenues dans la base de données MongoDB de 3,8 Go appartenaient à Choice Hotels en fonction de la nature des enregistrements, des coordonnées de l'administrateur interne contenant le nom de domaine @choicehotels.com et du nom de la base de données exposée : « ch ».

Quelles informations ont été exposées ?

L'instance de serveur non sécurisée contenait plusieurs bases de données contenant un large éventail d'informations, totalisant plus de 5,6 millions d'enregistrements. Choice Hotels affirme que la majorité de la base de données était composée dedonnées de test, y compris tous les champs faisant référence aux données de carte de paiement, aux mots de passe et aux informations de réservation.

L'instance MongoDB contenait un tableau de 2,4 millions d'enregistrements intitulé « journal de confidentialité », qui, selon Choice Hotels, contenait la majeure partie des 700 000 enregistrements de clients réels. Ils comprenaient un mélange de :

Noms complets
Adresses
Les numéros de téléphone
Adresses mail
Statuts de consentement

Dangers des données exposées pour les utilisateurs

Choice Hotels affirme que tous les champs contenant des mots de passe, des détails de réservation et des informations de paiement ne contenaient que de fausses données de test.

La plus grande menace pour les clients de Choice Hotels est le phishing. En utilisant les informations personnelles contenues dans la base de données exposée, les fraudeurs peuvent créer des e-mails de phishing ciblés. Ces e-mails peuvent usurper l'identité de Choice Hotels ou d'une société associée et demander aux utilisateurs de transmettre des informations plus sensibles par e-mail ou sur un site de phishing.

Les fraudeurs peuvent s'adresser aux utilisateurs par leur nom et inclure des informations personnelles détaillées pour rendre le message plus convaincant. Outre les e-mails, les fraudeurs peuvent également envoyer des messages de phishing aux téléphones des utilisateurs via des SMS.

Les clients de Choice Hotels doivent également se préparer à une augmentation du spam ciblé sur leurs téléphones et leurs comptes de messagerie.

Les bases de données MongoDB non protégées peuvent également être détournées pour propager des logiciels malveillants ou des ransomwares. Diachenko affirme que les cybercriminels pourraient gérer l'ensemble du système, l'infecter avec des logiciels malveillants, accéder à distance aux ressources du serveur et même exécuter du code pour voler ou détruire les données conservées sur le serveur.

À propos de Choice Hotels

Choice Hotels est un franchiseur hôtelier basé dans le Maryland qui possède une gamme de marques hôtelières, notamment Comfort Inn, MainStay Suites, Econo Lodge et Cambria Hotels, entre autres. La société a franchisé quelque 7 000 propriétés dans 41 pays.

En avril 2012, Choice Hotels a subi un incident de données qui a affecté les clients de Californie et du New Hampshire. Les informations client sensibles, notamment les numéros de carte de crédit, les numéros de permis de conduire, les numéros de passeport et les numéros de sécurité sociale, ont été ajoutées de manière inappropriée aux champs de la base de données. Ces données ont été transmises aux partenaires marketing de l’entreprise, ce qui a entraîné l’impression d’informations sensibles sur les enveloppes marketing envoyées aux clients. Cet incident a affecté moins de 0,001 % des séjours des clients, selon l'entreprise.

Comment et pourquoi nous avons découvert cette brèche

L’équipe de recherche en sécurité de Comparitech analyse le Web à la recherche de bases de données mal configurées et vulnérables dans le but d’alerter les organisations responsables et de faire d’Internet un endroit plus sûr pour tous.

Bob Diachenko utilise ses vastes connaissances et son expérience en matière de cybersécurité pour retrouver et analyser les données qui ont été exposées accidentellement ou délibérément. Lorsqu’il constate une fuite, il prend immédiatement des mesures pour avertir l’organisme responsable des données afin qu’il puisse les sécuriser.

Notre enquête se poursuit alors et nous apprenons la nature des données et à qui elles se rapportent. Nous rapportons nos conclusions pour sensibiliser les consommateurs concernés afin qu’ils puissent prendre les mesures ou précautions nécessaires. Nous entreprenons cette initiative pour limiter l'accès malveillant aux informations personnelles et atténuer les dommages si les données tombent entre de mauvaises mains.

Rapports précédents

Comparitech et Diachenko se sont associés pour découvrir plusieurs fuites et violations de données, notamment :

7 millions de disques des élèves de la maternelle à la 12e année
188 millions de données personnelles sur les sites de recherche de personnes
300 000 enregistrements appartenant à l'échange de crypto-monnaie QuickBit

3D-Online

Informations, Outils, Avis Et Comparaisons, Pour Aider Les Lecteurs À Améliorer Leur Cybersécurité Et Leur Confidentialité Sur Internet.