"تسريب" بيانات حجوزات فنادق عالمية.. والشركة المتهمة: خطأ بشري

قالت مجموعة متخصصة في الأمن المعلوماتي، إن ملايين البيانات لمستخدمي خدمات حجز الفنادق ورحلات الطيران، تُركت متاحة لأي شخص يمكنه الوصول إليها، فيما ذكرت الشركة المسؤولة عن تأمين تلك البيانات لـ"الشرق"، أن "المعلومات أتيحت لنحو 70 دقيقة فقط، عن طريق خطأ بشري". 

وأفاد تقرير أصدره الباحثون بشركة Website Planet، بأن عدداً كبيراً من خدمات الحجز الشهيرة، مثل مواقع Booking وHotels.com وExpedia وHotelbeds.com، كانت من بين الضحايا.

وذكر التقرير أن نحو 10 ملايين ملف، بإجمالي مساحة 24.4 جيجابايت من البيانات، كانت مخزنة على أحد خوادم أمازون بلا أي تأمين.

واشتملت البيانات المسربة على اسم المستخدم بالكامل وبريده الإلكتروني ورقم بطاقاته الائتمانية المسجلة على حسابه وأرقامها السرية CVV، ورقم هاتفه ورقم وتاريخ الحجز في الفندق ومدة الإقامة، بحسب مجموعة "ويبسايت بلانت"، وهو ما يسهل على القراصنة إمكانية اختراق الحياة الشخصية للنزلاء بسهولة، والاستيلاء على بطاقاتهم واستخدامها.

 وأرجع التقرير سبب هذا التسريب الضخم إلى منصة إدارة الغرف المتاحة Cloud Hospitality، التي تقدمها شركة Prestige Software الإسبانية، وهي خدمة تستضيف مواقع الحجوزات للتنسيق في ما بينها، وعدم تعارضها مع بعضها.

 ومن المحتمل أن تواجه الشركة عقوبات رادعة وغرامات مالية ضخمة، بسبب عدم قدرتها على حماية بيانات المستخدمين الأوروبيين، وفقاً لما ينص عليه قانون حماية بيانات المستخدمين في أوروبا GDPR.

Prestige Software تنفي

شركة Prestige Software أكدت لـ"الشرق" أن "الفريق الأمني لمجموعة Website Planet، التي نشرت التقرير، هو الجهة الوحيدة التي تمكنت من الوصول إلى تلك البيانات، ولم يتمكن أي طرف آخر من الحصول على وسيلة للوصول إلى تلك المعلومات أبداً".

وقالت: "لم يقع أي تسريب لبيانات المستخدمين، وأن خطأ بشرياً كان وراء إتاحة بيانات بعض المستخدمين على الإنترنت لمدة 70 دقيقة فقط خلال سبتمبر الماضي".

وأوضحت الشركة في بيانها لـ"الشرق"، أنها حرصت على سرعة إعلام الوكالة الإسبانية لحماية البيانات بخصوص واقعة سبتمبر، وأنهما عملا معاً على اتخاذ جميع الإجراءات اللازمة للتعامل مع مثل تلك الظروف الطارئة لتحقيق أعلى مستوى من الحماية للمستخدمين.

وعن طبيعة البيانات التي أتيحت بالخطأ عبر الإنترنت، قال خوسيه هيرنانديز، مدير المنتجات في الشركة الإسبانية لـ"الشرق"، إن المعلومات المسربة "لم تشمل أية بيانات تتعلق بالبطاقات الائتمانية الخاصة بالمستخدمين"، خلافاً لما ذكره التقرير.

BOOKING والحظ العاثر

ويبدو أن مستخدمي خدمة Booking لحجز الفنادق لا يحالفهم الحظ هذه الفترة، ففي نوفمبر من عام 2019 تعرضت قاعدة بيانات تابعة لشركة Gekko Group الفرنسية المتخصصة في الخدمات الفندقية، وكانت تحوي بيانات خاصة بـ140 ألف عميل، للاختراق.

وكانت تلك المعلومات تحوي البيانات الشخصية من أسماء وعناوين البريد الإلكتروني، وكذلك البيانات البنكية وبطاقات الائتمان الخاصة ببعض مستخدمي خدمات Booking، وكذلك Hotelbeds.com.

وفي عام 2018 تعرض بعض مستخدمي الموقع الشهير إلى حملة منظمة من المخترقين، حاولت سرقة بيانات بطاقاتهم الائتمانية وحساباتهم البنكية، من خلال مجموعة من الرسائل الإلكترونية على بريدهم الإلكتروني وعبر الواتساب.

وكانت تلك الرسائل تحتوي على رابط خبيث يدّعي أنه تابع لخدمة "بوكينغ"، وتطلب منهم الرسائل ضرورة تقديم بياناتهم البنكية لتأكيد وتوثيق هوية حساباتهم، ولكن بمجرد الضغط على الرابط ينتقل المستخدم إلى صفحة مصممة باحترافية لتقنعهم بأنها داخل الموقع الشهير، ولكن في حقيقة الأمر هي ليست كذلك.

 ووقع عدد كبير من مستخدمي "بوكينغ" ضحية لتلك الحملة من الخداع عبر الرسائل الإلكترونية Phishing، وتسبب الأمر في قيام الشركة بتنبيه الضحايا إلى توخي الحذر قبل الضغط على أي رابط يصلهم في رسالة إلكترونية، مشيرة إلى أنها لن تطلب أبداً البيانات البنكية لمستخدميها.

 كيف تحمي نفسك الآن؟

 بعد مثل هذه التسريبات، يجب عليك اتخاذ عدد من الخطوات، لحماية وجودك على الإنترنت من الاختراق، وكذلك لحماية أموالك من السرقة:

 1. غيّر كلمة المرور الخاصة بحسابك، إن كان لديك حساب لدى الخدمات المتضررة من تسريب البيانات. 

2.  غيّر كلمة المرور الخاصة بحساباتك على الإنترنت، التي تستخدم خلالها كلمة المرور نفسها الخاصة بحسابك الذي جرى تسريب بياناته.

3. فعّل ميزة تأكيد الهوية بخطوتين على بطاقتك الائتمانية OTP، بحيث لا يمكن إجراء أي معاملات مالية باستخدام بطاقتك على الإنترنت، إلا بعد إدخال الكود الذي يجري إرساله إلى هاتفك لتأكيد هويتك.