Η ασφάλεια της Mondee εκθέτει τα δρομολόγια πτήσεων και τους μη κρυπτογραφημένους αριθμούς πιστωτικών καρτών

On

Αυγ 3, 2023

Ο ταξιδιωτικός γίγαντας Mondee εξασφάλισε μια εκτεθειμένη βάση δεδομένων που διοχέτευε ευαίσθητες πληροφορίες πελατών, συμπεριλαμβανομένων λεπτομερών δρομολογίων πτήσεων και ξενοδοχείων και μη κρυπτογραφημένων αριθμών πιστωτικών καρτών.

Anurag Sen

ένας καλόπιστος ερευνητής ασφάλειας γνωστός για την ανακάλυψη δεδομένων που εκτέθηκαν ακούσια στο διαδίκτυο, βρήκε τη βάση δεδομένων και μοιράστηκε λεπτομέρειες με το TechCrunch για να ειδοποιήσει την εταιρεία.

Σύμφωνα με τον Sen, η βάση δεδομένων ήταν εκτεθειμένη στο Διαδίκτυο χωρίς κωδικό πρόσβασης, επιτρέποντας σε οποιονδήποτε να έχει πρόσβαση στα ευαίσθητα δεδομένα μέσα χρησιμοποιώντας ένα πρόγραμμα περιήγησης ιστού, μόνο με τη διεύθυνση IP του. Το TechCrunch διαπίστωσε ότι η βάση δεδομένων ήταν επίσης προσβάσιμη από έναν εύκολα εικαστικό υποτομέα του ιστότοπου μιας θυγατρικής της Mondee.

Πολλά από τα δεδομένα φαίνεται να σχετίζονται με

Θυγατρική της Mondee TripPro

μια πλατφόρμα ταξιδιωτικών πρακτόρων που χρησιμοποιείται από δεκάδες χιλιάδες πράκτορες κρατήσεων και ταξιδιωτικές νεοφυείς επιχειρήσεις που επιτρέπουν αυτοεξυπηρέτηση αεροπορικών εισιτηρίων και κρατήσεων ξενοδοχείων.

Η βάση δεδομένων, που φιλοξενήθηκε στο

cloud

της

Oracle

και είχε μέγεθος πάνω από 1,7 terabyte τη στιγμή που εκτέθηκε, περιείχε προσωπικές πληροφορίες πελατών, όπως ονόματα, φύλο, ημερομηνίες γέννησης, διευθύνσεις σπιτιού, πληροφορίες πτήσης και αριθμούς διαβατηρίων. Ορισμένα από τα δεδομένα που βλέπει το TechCrunch περιλαμβάνουν πλήρη αρχεία ονομάτων επιβατών ή PNR, συμπεριλαμβανομένων των στοιχείων εισιτηρίων και κράτησης. Το TechCrunch είδε επίσης τους πλήρεις αριθμούς πιστωτικών καρτών και τις ημερομηνίες λήξης των πελατών στη βάση δεδομένων, αλλά κανένα από τα δεδομένα δεν ήταν κρυπτογραφημένο.

Το TechCrunch επαλήθευσε ότι τα εκτεθειμένα δεδομένα ταιριάζουν με πληροφορίες πραγματικών ανθρώπων. Ένα άτομο με το οποίο μιλήσαμε επιβεβαίωσε ότι οι πληροφορίες της πτήσης του ήταν ακριβείς και είπε ότι έκαναν κράτηση για τις πτήσεις τους μέσω ενός δημοφιλούς ιστότοπου κρατήσεων.

Η βάση δεδομένων περιείχε επίσης δεδομένα δοκιμών χωρίς πελάτες που δημιουργήθηκαν από προγραμματιστές της Mondee.

Η βάση δεδομένων εντοπίστηκε για πρώτη φορά ως εκτεθειμένη στα τέλη Ιουλίου, σύμφωνα με μια λίστα στο Shodan, μια μηχανή αναζήτησης που ανιχνεύει τον ιστό για εκτεθειμένους διακομιστές και βάσεις δεδομένων. Οι συνθήκες για το πώς η βάση δεδομένων έγινε δημόσια προσβάσιμη δεν είναι γνωστές, αν και οι εκθέσεις της βάσης δεδομένων είναι συχνά εσφαλμένες διαμορφώσεις που προκαλούνται από ανθρώπινο λάθος.

Όταν επικοινωνήθηκε μέσω email, η εκπρόσωπος της Mondee Karen Gillo δεν αναγνώρισε το συμβάν ούτε σχολίασε. Η βάση δεδομένων έγινε απρόσιτη λίγο καιρό μετά την επικοινωνία του TechCrunch με τη Mondee.

Δεν είναι ακόμη γνωστό εάν κάποιος άλλος εκτός από τον Sen βρήκε την εκτεθειμένη βάση δεδομένων κατά τη διάρκεια του παραθύρου που ήταν προσβάσιμη από το Διαδίκτυο. Η TechCrunch ρώτησε τη Mondee εάν η εταιρεία έχει την τεχνική ικανότητα, όπως αρχεία καταγραφής, να προσδιορίσει ποια, εάν υπάρχουν, δεδομένα είχαν πρόσβαση ή εξαγωγή από τη βάση δεδομένων.

Η Mondee δεν είπε εάν σκοπεύει να ενημερώσει τους επηρεαζόμενους πελάτες για αυτήν την έκθεση δεδομένων.

Διαβάστε περισσότερα στο TechCrunch:

techcrunch.com