Accueil > Sécurité > RGPD > AccorHotels : un teraoctet de données clients en fuite
accorhotels fuite données

AccorHotels : un teraoctet de données clients en fuite

Une erreur de configuration de serveur de la filiale Gekko d’AccorHotels, en charge de la plateforme de réservation du groupe, a provoqué une fuite massive d’un teraoctet de données de clients.

Outre les cyberattaques, la mauvaise configuration de serveurs compte parmi les principales causes de fuites de données. Aujourd’hui, c’est au tour du groupe AccorHotels de faire les frais d’une telle négligence.

En parcourant le web, les chercheurs en sécurité de VPNMentor ont ainsi découvert une base de données mal sécurisée facilement accessible. Cette database en question appartient à Gekko, la filiale d’Accor qui développe une plateforme de réservation pour les hôtels du groupe.

La base de données contenait plus d’un teraoctet d’informations, appartenant à plus de 130 000 clients : données personnelles, données de réservation, identifiants de connexion, mais aussi données de cartes bancaires.

AccorHotels : une fuite de données massive provoquée par une erreur de la filiale Gekko

En outre, VPNMentor a aussi trouvé des données provenant de sources externes. Pour cause, les systèmes de Gekko communiquent avec des partenaires externes comme Booking.com. Les informations en provenance de ces tiers sont elles aussi agrégées sur la base de données.

La majeure partie des données compromises proviennent de la plateforme Teldar Travel mise à disposition des agences de voyage et des professionnels, et d’une base de données appartenant à la centrale hôtelière destinée aux professionnels du groupe Accor : Infinite Hotel.

Interrogé par le Parisien suite à cet incident, le dirigeant de Gekko se veut rassurant. Selon ses dires, les données de carte bancaire exposées sont inutilisables puisqu’elles ne contenaient pas le cryptogramme visuel requis pour payer en ligne.

Sur son blog, VPN Mentor affirme avoir découvert la base de données exposée sur le web le 7 novembre 2019. Cependant, il aura fallu attendre le 13 novembre pour que le groupe Accord Hotel réponde et corrige la faille de sécurité. La CNIL a aussi été contactée pour signaler le problème, conformément au RGPD.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Send this to a friend