Sites de réservation de voyages touchés par une violation massive des données: comment pouvez-vous vous protéger?
Une plateforme de réservation d'hôtels a exposé les données des utilisateurs ainsi que les détails d'au moins 10 millions de clients dans le monde. Cela pourrait affecter toute personne ayant réservé une chambre via un site de réservation en ligne au cours des sept dernières années.
Voici ce que vous devez savoir sur cette fuite massive, comment cela peut vous affecter et ce que vous pouvez faire à ce sujet.
Quels sites de réservation de vacances ont été touchés?

Le logiciel Prestige, basé en Espagne, responsable d'un système de réservation d'hôtel, stocke de manière incorrecte plusieurs années de données sur les clients sur un compartiment AWS S3 mal configuré, une ressource de stockage cloud populaire.
Les utilisateurs disposant de comptes sur les sites suivants doivent prendre des mesures pour sécuriser leurs données:
- Agoda
- Amadeus
- Booking.com
- Expedia
- Hotels.com
- Lit d'hôtel
- Omnibeds
- Sabre
D'autres ont été touchés, mais ce sont les plus en vue.
Ce n'est pas une liste complète puisque Website Planet , qui a révélé la violation de données, n'a pas encore examiné toutes les données exposées, il peut donc y en avoir plus. Cela pourrait également affecter d'autres sites de réservation plus petits ou moins connus qui pourraient avoir utilisé la plate-forme de réservation d'hôtel populaire.
Si vous avez voyagé à tout moment au cours des dernières années, examinez vos comptes pour voir si vous avez réservé des réservations en ligne et si vous avez laissé des détails sur l'un des sites concernés.
Quel type de données client a été exposé?
Au moins 10 millions de fichiers journaux datant de 2013 ont été divulgués. Le compartiment S3 était toujours actif et en cours d'utilisation et les nouvelles connexions client étaient toujours enregistrées des heures après que Website Planet ait fait la découverte.
Parmi les données sensibles exposées figuraient les informations personnelles identifiables (PII) telles que le nom complet du client, les adresses e-mail, les numéros de téléphone et même les numéros d'identification nationaux. Vous souvenez-vous d'avoir tapé votre numéro de passeport quelque part en ligne?
Il contient votre numéro de carte de crédit, le nom du titulaire de la carte, la date d'expiration et le CVV, ainsi que d'autres détails de paiement.
Il y a aussi des détails sur les réservations comme les dates de séjour, le prix par nuit, les demandes supplémentaires, le nombre de personnes et oui, les noms des clients. Si vous avez eu un «rendez-vous» secret que vous ne voudriez pas que quiconque sache, vous devriez vous inquiéter.
Que peuvent faire les cybercriminels avec vos informations?
Website Planet a contacté AWS directement, qui a ensuite sécurisé le compartiment S3 immédiatement. Mais l'équipe ne peut pas dire avec certitude si quelqu'un d'autre a trouvé les données avant lui.
Il est donc possible que vos informations soient déjà colportées sur le dark web pendant que vous lisez ceci. Vous devriez vous demander ce que les cybercriminels peuvent faire de toute façon avec vos informations.
En plus de vous faire chanter avec les informations juteuses qu'ils ont en main, des données comme celles-ci sont comme une mine d'or pour les cybercriminels.
Vol d'identité en ligne
La première chose qui vient à l'esprit lorsque nous parlons de fuites de données est la fraude d'identité.
Les cybercriminels peuvent utiliser vos informations pour ouvrir de nouvelles cartes de crédit à votre nom ou une marge de crédit. Ils peuvent utiliser vos cartes de crédit ou de débit pour les achats ou votre identité pour louer un appartement. Certains peuvent utiliser vos informations pour obtenir une assurance maladie ou des soins médicaux.
Hameçonnage
Les cybercriminels peuvent également inclure votre e-mail dans leurs campagnes de phishing .
Et comme ils ont également vos autres informations, à savoir vos coordonnées bancaires, ils peuvent créer un e-mail qui ressemblerait à quelque chose que vous auriez reçu de votre banque, avec votre numéro de carte de crédit. Ils vous enverront ensuite des liens malveillants ou des pièces jointes pour télécharger des logiciels malveillants sur votre ordinateur.
Vos informations pourraient être utilisées pour victimiser vos amis ou collègues en se faisant passer pour vous, puis en contactant tous vos contacts. Ils peuvent les inciter à envoyer de l'argent ou à télécharger un fichier infecté.
Cibler les personnes riches pour d'autres escroqueries
Les escrocs peuvent également cibler les clients qui peuvent avoir réservé des chambres dans des hôtels chers (et donc avoir plus d'argent) pour des escroqueries ou des plans d'extorsion plus élaborés.
Une grande partie des informations contenues dans la fuite de données peut être utilisée pour profiler une personne et fournir suffisamment d'informations pour qu'un cybercriminel puisse créer une attaque de harponnage ou de chasse à la baleine.
Prise de contrôle de vacances
La fuite de données comprend toutes les informations sur les vacances futures. Les cybercriminels peuvent l'utiliser pour appeler l'hôtel et modifier la date et les noms de réservation.
Oui, ils peuvent reprendre vos vacances ou vendre ces réservations à d'autres.
Que pouvez-vous faire si vos données ont été compromises?
Devriez-vous vous inquiéter à ce sujet? Jusqu'à présent, aucune cybercriminalité n'a été signalée pouvant être attribuée à la fuite. Mais comme il n'y a aucun moyen de savoir si les données exposées ont été trouvées par quelqu'un d'autre avant Website Planet, vous pouvez être un canard assis à ce stade.
Heureusement, vous pouvez faire certaines choses.
Vérifiez si vous faisiez partie de la fuite

Vous ne vous souvenez peut-être pas d'avoir réservé un voyage en 2013, mais il existe un moyen de vérifier, en particulier via votre compte Google. Parcourez vos paramètres pour voir s'il existe une alerte indiquant «problèmes de sécurité critiques détectés». Cela répertorie tous les sites liés à votre compte qui peuvent avoir fait partie d'une violation, y compris cette fuite de données de voyage.
Dans cette section, vous pouvez également vérifier tous les autres sites liés, comme ceux sur lesquels vous avez recyclé votre mot de passe. Le recyclage de votre mot de passe n'est jamais une bonne idée car cela permettra aux pirates d'accéder à vos autres comptes simplement en piratant un.
Sinon, vous pouvez rechercher des adresses e-mail compromises à l'aide de Have I Been Pwned . Il vaut également la peine de rechercher dans votre boîte de réception les utilisations historiques des sites de réservation.
Attention aux e-mails de phishing
Surveillez votre boîte de réception et faites attention aux e-mails suspects.
Assurez-vous que votre AV est mis à jour afin qu'il puisse détecter les logiciels malveillants dans les pièces jointes et les liens de phishing dans les e-mails.
Soyez à l'affût d'autres e-mails et notifications qui pourraient être un signe que quelqu'un d'autre tente de créer des comptes sous votre nom. Recherchez les e-mails qui vous alertent sur l'inscription ou qui peuvent vous informer d'un changement dans vos autres comptes.
Ne cliquez pas sur les liens dans les e-mails . Au lieu de cela, accédez aux sites Web officiels en utilisant un onglet, un navigateur ou un appareil différent.
Appelez votre banque
Il vaut la peine d'appeler votre banque pour l'informer que votre compte actif pourrait faire partie d'une fuite de données récente. Demandez-leur comment ils peuvent vous aider à sécuriser votre compte.
Configurez l'authentification à deux facteurs (2FA) pour vos applications bancaires et d'autres sites Web contenant des informations sensibles.
Placer un gel du crédit
Vous pouvez également envisager de geler la sécurité de votre rapport de crédit. Cela rendra difficile pour les voleurs d'identité de créer de nouveaux comptes ou d'ouvrir une marge de crédit à votre nom.
Non, le gel n'affectera pas votre pointage de crédit.
Abandonnez vos comptes de voyage pour le moment
Avec des verrouillages actuellement en place et imminents dans d'autres parties du monde, il semble que les gens ne voyageront pas autant en ce moment. Envisagez de supprimer vos comptes de réservation de voyage pour une courte période et d'en créer un nouveau lorsque vous êtes prêt à voyager à nouveau.
Surveillez vos comptes
Surveillez vos comptes de crédit ou de débit et faites attention aux transactions frauduleuses. Vous ne reconnaissez pas une transaction? Contactez votre banque ou
Protégez vos données
Vos données sont un bien précieux. Sachez qu'il y a des gens qui peuvent essayer de mettre la main sur eux pour des activités illégales.
Tenez-vous toujours informé des violations de données afin de savoir si vos informations ont été compromises. Et pratiquez l'hygiène numérique en supprimant les anciens comptes ou en mettant à jour vos paramètres de sécurité.