Cybertreat.id - Penyedia perangkat lunak reservasi hotel, Prestige Software, telah membuat data pribadi jutaan tamu hotel di seluruh dunia terekspose. Itu terjadi  setelah perusahaan salah mengonfigurasi keranjang penyimpan di Amazon Web Services (AWS) Cloud.

Dilansir dari Info Security Magazine, Senin (9 November 2020), temuan itu diungkap oleh Website Planet, situs teknologi yang berfokus pada isu keamanan siber.

Perangkat lunak yang disedikan oleh Prestige Software diketahui digunakan oleh sejumlah aplikasi pemesanan hotel seperti Booking.com, Agoda, Hotels.com, Expedia, dan banyak lagi layanan sejenis.  Walhasil, data pengguna Booking.com Cs turut terekspose.

Prestige Software dengan Cloud Hospitality-nya membantu situs pemesanan itu untuk menjalankan bisnisnya, di Cloud inilah perusahaan menyimpan data pengguna yang mengakses situs pemesanan hotel itu.

Cloud Hospitality ini disimpan di keranjang AWS S3. Namun, ada salah konfigurasi pada bucket AWS ini sehingga menyebabkan lebih dari 10 juta file log yang berasal dari tahun 2013 terungkap.

Menurut peneliti Website Planet, Mark Holden, 10 juta file itu termasuk informasi identitas pribadi untuk beberapa orang dalam satu pemesanan.

Di antara data yang bocor itu adalah nama lengkap, alamat email, nomor identitas, dan nomor telepon tamu hotel. Ratusan ribu diantaranya berisikan detail pemesanan kartu individu termasuk nomor kartu, nama pemegang kartu, CVV, dan tanggal kadaluarsa juga terungkap.

Holden mengatakan jutaan orang berpotensi terekspos dalam kebocoran data dan tidak menjamin bahwa seseorang belum mengakses dan mencuri basis data yang terbuka itu. Meskipun, belum ada indikasi data yang terbuka itu telah dicuri.

"Sejauh ini, tidak ada bukti bahwa ini terjadi. Namun, jika iya, akan ada implikasi yang sangat besar bagi privasi, keamanan, dan kesejahteraan finansial mereka yang terpapar."  kata Holden seperti dikutip dari Infosecurity Magazine.

Data yang bocor itu, kata Holden, dapat menempatkan pemilik data itu dalam risiko penipuan dan serangan online. Beberapa risiko seperti pencurian identitas penipuan kartu kredit, scam, phising, dan malware kemungkinan dapat terjadi pada pemilik data yang terdampak.

Website Planet sendiri pada saat itu telah menghubungi AWS secara langsung untuk mengungkapkan insiden itu, dan diperbaiki pada hari berikutnya. Prestige Software juga mengonfirmasi bahwa benar data itu miliknya atau berasal dari pihaknya.

Kendati demikian, pengembang asal Spanyol ini kemungkinan akan menghadapi berbagai pertanyaan dari penyelidik General Data Protection Regulation (GDPR) akibat lalai dalam melindungi data dan  Payment Card Industry Data Security Standard (PCI DSS) karena melanggar standar yang telah ditetapkan.[]

Editor: Yuswardi A. Suud