Une base de données de Gekko, filiale du géant de l’hôtellerie, était accessible sur Internet, sans la moindre sécurité. S’y trouvaient les informations de nombreux clients européens, y compris des données de réservation et des mots de passe en clair.
C’est dans le cadre de leur activité de veille de fuites de données que les chercheurs de VPNmentor ont découvert une base de données ElasticSearch, hébergée chez OVH, librement accessible sur Internet sans mot de passe ni chiffrement. Les données stockées provenaient de nombreuses sources différentes, obligeant l’équipe à un travail de recoupement afin de découvrir l’identité du propriétaire de la base : Gekko, une filiale spécialisée en réservations du groupe Accor.
Après avoir sans succès tenté d’avertir le géant de l’hôtellerie et sa succursale, VPNmentor s’est finalement tourné vers OVH, notifiant la Cnil au passage. Avant de finalement recevoir une réponse d’Accor, qui s’est empressé de fermer les accès à cette base, dont on ignore encore depuis combien de temps elle était ouverte aux quatre vents, ou si les données contenues ont été compromises. Selon les chercheurs, la majorité des données provenait de deux marques de Gekko, Teldar Travel et Infinite Hotels.
Mauvaise configuration
Mais puisque le groupe traite principalement avec des agences de voyages, d’autres données proviennent de nombreuses sources externes : agences, hôtels ainsi que des plateformes telles que Booking.com ou Selectour. Un téraoctet de données au total, dont des noms complets, des adresses mail, des adresses de domicile, des détails de réservations, etc. Outre ces informations, la base contenait également des informations bancaires, heureusement incomplètes, mais aussi et surtout des mots de passe en clair liés à des comptes sur des plateformes appartenant au groupe Gekko.
Ce faisant, l’équipe de VPNmentor a été en mesure d’accéder à des comptes, de modifier, annuler ou créer des réservations. Les données en question proviennent en grande partie de clients européens. « Il s’agit d’une énorme quantité de données exposée » écrivent les chercheurs. « Cela représente une grave erreur dans les protocoles de sécurité des données du groupe Gekko et de ses filiales, ce qui a de graves conséquences pour les nombreuses personnes concernées ».