La société israélienne vpnMentor, spécialisée dans la sécurité et les VPN, annonce avoir découvert une faille de sécurité sur le site de Gekko Group. Cette filiale d’Accor, basée en France, est l’un des leader européen de la réservation d’hôtels en B2B. On parle ici d’une fuite de données massive.
La faille a été résolue 6 jours après le signalement. Elle permettait d’accéder à 1 To de données, dont les données personnelles de 140 000 voyageurs.
On pouvait ainsi obtenir :
- les noms des voyageurs
- leurs adresses e-mail et de domicile
- des informations associées aux enfants
- les dates de voyage
- les hôtels de destination
- le prix des séjours
- les identifiants de connexion…
Les clients concernés se trouvent en France, Royaume-Uni, Pays-Bas, Portugal, Espagne, Belgique, Italie, Israël.
Gekko est un opérateur B2B qui fournit des services à d’autres sociétés tels que Booking.com, Mondial Assistance ou encore Selectour.
Il est donc possible d’avoir ses données personnelles exposées sans jamais avoir eu affaire en direct avec Gekko, mais simplement avec l’une des sociétés clientes…
Le groupe est maintenant susceptible de poursuites ou d’amendes dans le cadre de la RGPG, ce genre de fuite de données étant un cas ciblé par la règlementation.
Je vous conseille fortement la lecture de l’article de VPNMentor (ci-dessous). Au delà de l’aspect technique, il renseigne aussi sur la démarche de cette société. Leur équipe d’experts réalise des tests d’intrusion (penTest) non sollicités et signale, le cas échéant, les failles trouvées.
Source : Blog VPNMentor
Photo par Mika Baumeister sur Unsplash