Une plateforme de réservation hôtelière a exposé les données de millions d'utilisateurs, touchant potentiellement quiconque a réservé en ligne ces sept dernières années. Prestige Software, éditeur espagnol, a mal configuré un bucket AWS S3, rendant publics des logs clients depuis 2013.
Voici tout ce qu'il faut savoir sur cette brèche majeure, ses impacts possibles et les mesures concrètes pour vous protéger.
Prestige Software gère un système de réservation hôtelier utilisé par de nombreux acteurs. Les comptes suivants sont à risque :
D'autres sites pourraient être impactés, car Website Planet, qui a découvert la faille, n'a pas encore analysé l'ensemble des données. Vérifiez vos historiques de réservations si vous avez voyagé récemment.
Plus de 10 millions de fichiers logs depuis 2013 ont été rendus publics. Le bucket restait actif lors de la découverte, enregistrant encore de nouvelles connexions.
Les informations sensibles incluent : noms complets, e-mails, numéros de téléphone, numéros d'identification nationaux, détails de cartes de crédit (numéro, nom du titulaire, date d'expiration, CVV), et infos de réservation (dates, prix, demandes spéciales, noms d'invités).
Website Planet a alerté AWS, qui a sécurisé le bucket. Mais des copies pourraient circuler sur le dark web.
Ces données sont une aubaine pour les malfaiteurs :
Elles permettent d'ouvrir des comptes bancaires, cartes de crédit, locations ou assurances à votre nom.
Vos coordonnées facilitent des e-mails frauduleux imitant votre banque, avec liens malveillants ou malwares.
Les attaquants pourraient aussi usurper votre identité pour piéger vos contacts.
Profilage pour attaques sophistiquées comme le spear-phishing ou l'extorsion.
Modification de dates ou revente de vos séjours via un appel à l'hôtel.
Aucun incident lié n'est rapporté à ce jour, mais prudence est de mise. Voici les étapes essentielles :
Consultez les alertes de sécurité Google pour les brèches liées à votre compte. Utilisez Have I Been Pwned pour vos e-mails. Fouillez vos archives pour d'anciennes réservations.
Mettez à jour votre antivirus. Évitez les clics sur liens suspects : accédez directement aux sites officiels.
Guettez les notifications d'inscriptions frauduleuses.
Activez la 2FA sur comptes sensibles. Informez-les de la brèche.
Empêche les ouvertures frauduleuses sans impact sur votre score. Lien : Comment geler votre crédit contre l'usurpation d'identité
Recréez-en de nouveaux plus tard.
Vérifiez transactions et contestez les anomalies.
Restez vigilant face aux brèches. Pratiquez l'hygiène numérique : supprimez comptes inutiles, renforcez mots de passe et sécurité.
[]