Der Reiseriese Mondee hat eine offengelegte Datenbank gesichert, aus der vertrauliche Kundeninformationen, darunter detaillierte Flug- und Hotelrouten sowie unverschlüsselte Kreditkartennummern, hervorgingen.
Anurag Senein gutgläubiger Sicherheitsforscher, der dafür bekannt ist, versehentlich offengelegte Daten im Internet zu entdecken, fand die Datenbank und teilte Tech Details mit, um das Unternehmen zu alarmieren.
Laut Sen wurde die Datenbank ohne Passwort dem Internet zugänglich gemacht, sodass jeder über einen Webbrowser und nur mit seiner IP-Adresse auf die darin enthaltenen sensiblen Daten zugreifen konnte. Tech stellte fest, dass die Datenbank auch über eine leicht zu erratende Subdomain der Website einer Mondee-Tochtergesellschaft zugänglich war.
Viele der Daten scheinen sich darauf zu beziehen Mondee-Tochter TripProeine Reisebüroplattform, die von Zehntausenden Buchungsagenturen und Reise-Startups genutzt wird und Self-Service-Flugtickets und Hotelbuchungen ermöglicht.
Die Datenbank, die in der Cloud von Oracle gehostet wurde und zum Zeitpunkt ihrer Offenlegung eine Größe von mehr als 1,7 Terabyte hatte, enthielt persönliche Daten des Kunden, darunter Namen, Geschlecht, Geburtsdaten, Privatadressen, Fluginformationen und Passnummern. Einige der von Tech eingesehenen Daten umfassen vollständige Kundendatensätze zu Passagiernamen (PNR), einschließlich Ticket- und Buchungsdetails. Tech hat auch die vollständigen Kreditkartennummern und Ablaufdaten der Kunden in der Datenbank gesehen, aber keine der Daten war verschlüsselt.
Tech hat bestätigt, dass die offengelegten Daten mit den Informationen echter Personen übereinstimmen. Eine Person, mit der wir gesprochen haben, bestätigte, dass ihre Fluginformationen korrekt waren und sagte, sie habe ihre Flüge über eine beliebte Buchungsseite gebucht.
Die Datenbank enthielt auch nicht von Kunden stammende Testdaten, die von Mondee-Entwicklern generiert wurden.
Laut einer Auflistung auf Shodan, einer Suchmaschine, die das Internet nach exponierten Servern und Datenbanken durchsucht, wurde die Datenbank erstmals Ende Juli als offengelegt entdeckt. Die Umstände, unter denen die Datenbank öffentlich zugänglich gemacht wurde, sind nicht bekannt, allerdings handelt es sich bei der Gefährdung der Datenbank häufig um Fehlkonfigurationen, die durch menschliches Versagen verursacht wurden.
Als Mondee-Sprecherin Karen Gillo per E-Mail kontaktiert wurde, bestätigte sie den Vorfall nicht und gab auch keinen Kommentar ab. Kurz nachdem Tech Mondee kontaktiert hatte, war der Zugriff auf die Datenbank nicht mehr möglich.
Es ist noch nicht bekannt, ob jemand anderes als Sen die offengelegte Datenbank gefunden hat, als sie über das Internet zugänglich war. Tech hat Mondee gefragt, ob das Unternehmen über die technischen Möglichkeiten (z. B. Protokolle) verfügt, um festzustellen, auf welche Daten gegebenenfalls zugegriffen oder diese aus der Datenbank extrahiert wurden.
Mondee hat nicht gesagt, ob es plant, betroffene Kunden über diese Datenexponierung zu informieren.
Lesen Sie mehr auf Tech: