西班牙網路軟體開發商雲端伺服器配置錯誤，造成至少10萬名用戶機敏資料外洩

• 發布日期：109-12-18
• 發布單位：刑事警察大隊

參考網站：
行政院國家資通安全會報技術服務中心/西班牙網路軟體開發商雲端伺服器配置錯誤，造成至少10萬名用戶機敏資料外洩
https://www.nccst.nat.gov.tw/NewsRSSDetail?lang=zh&RSSType=news&seq=16477

通路管理平臺Cloud Hospitality因其Amazon Web Services (AWS) S3儲存服務之雲端伺服器配置錯誤，造成訂房用戶之信用卡等機敏資料外洩，影響範圍涉及全球至少10萬名飯店房客。
資安廠商Website Planet於網路探測發現一個AWS S3雲端伺服器，因配置不當導致資料曝露於網際網路，經調查後發現，此雲端伺服器隸屬於西班牙網路軟體開發商Prestige Software所開發之通路管理平台Cloud Hospitality。Cloud Hospitality平台可串連各線上訂房系統並管理所有空房，當使用者預訂如Agoda訂房網站上某個房間時，該房間便不會出現在其他訂房網站上。
該雲端伺服器儲存之數據資料容量高達24.4GB，最早資訊可追朔至2013年，超過10萬名用戶之機敏資訊，內容包括姓名、電子郵件位址、身分證字號、電話號碼、信用卡號碼、認證碼及到期日等。因一筆訂房紀錄內可包括多人之可辨識資訊(Personally Identifiable Information, PII)，對此研究人員表示，實際受影響之用戶可能更多。
由於網路軟體開發商Prestige Software總部位於西班牙，受歐盟「通用資料保護規則」(General Data Protection Regulation, GDPR)規範，可能因此面臨巨額罰款，而消費者則可能遭遇身分竊盜等問題。

資料來源：
https://www.websiteplanet.com/blog/prestige-soft-breach-report/
https://securityboulevard.com/2020/11/hospitality-cloud-platform-data-breach-caused-by-misconfigured-s3-bucket/
https://www.infosecurity-magazine.com/news/hotel-booking-firm-leaks-data/
技術服務中心整理