通路管理平臺Cloud Hospitality因其Amazon Web Services (AWS) S3儲存服務之雲端伺服器配置錯誤，造成訂房用戶之信用卡等機敏資料外洩，影響範圍涉及全球至少10萬名飯店房客。

 

資安廠商Website Planet於網路探測發現一個AWS S3雲端伺服器，因配置不當導致資料曝露於網際網路，經調查後發現，此雲端伺服器隸屬於西班牙網路軟體開發商Prestige Software所開發之通路管理平台Cloud Hospitality。Cloud Hospitality平台可串連各線上訂房系統並管理所有空房，當使用者預訂如Agoda訂房網站上某個房間時，該房間便不會出現在其他訂房網站上。

 

該雲端伺服器儲存之數據資料容量高達24.4GB，最早資訊可追朔至2013年，超過10萬名用戶之機敏資訊，內容包括姓名、電子郵件位址、身分證字號、電話號碼、信用卡號碼、認證碼及到期日等。因一筆訂房紀錄內可包括多人之可辨識資訊(Personally Identifiable Information, PII)，對此研究人員表示，實際受影響之用戶可能更多。

 

由於網路軟體開發商Prestige Software總部位於西班牙，受歐盟「通用資料保護規則」(General Data Protection Regulation, GDPR)規範，可能因此面臨巨額罰款，而消費者則可能遭遇身分竊盜等問題。

資料來源：

https://www.websiteplanet.com/blog/prestige-soft-breach-report/

Hospitality Cloud Platform Data Breach Caused by Misconfigured S3 Bucket

https://www.infosecurity-magazine.com/news/hotel-booking-firm-leaks-data/