Американская туристическая компания Mondee допустила крупную утечку

[Artifact]

Билеты, паспорта, кредитки — что ещё могут раскрыть туристические компании о своих клиентах?
Крупная туристическая компания Mondee недавно закрыла доступ к базе данных, которая ранее случайно оказалась доступна в открытом интернет-доступе и содержала конфиденциальную информацию о клиентах, включая подробные сведения об авиабилетах, бронировании отелей и незашифрованные номера кредитных карт.
Об уязвимости стало известно благодаря Анурагу Сену , независимому исследователю в области кибербезопасности, который и обнаружил эту базу данных, а также поделился информацией о ней с изданием TechCrunch.
По словам Сена, доступ к базе данных, размещённой в облаке Oracle, не требовал ввода пароля, что позволяло получить доступ к конфиденциальным данным через веб-браузер, зная лишь нужный IP-адрес. А как выяснилось позже, базу можно было найти ещё и через легко угадываемый субдомен сайта одного из подразделений Mondee.
Большая часть данных, похоже, относилась к дочерней компании Mondee — TripPro, которая предоставляет услуги онлайн-бронирования авиабилетов и гостиниц десяткам тысяч турагентов и стартапов в сфере туризма.
В базе объёмом 1,7 терабайта содержалась личная информация клиентов, включая имена, пол, даты рождения, домашние адреса, данные об авиаперелётах и номера паспортов. Также в ней находились подробные сведения о бронировании, вплоть до полных пассажирских данных PNR. Кроме того, в базе также хранились полные номера кредитных карт клиентов и сроки их действия без какого-либо шифрования.
Представители TechCrunch связались с некоторыми пострадавшими от утечки лицами и те подтвердили, что слитые данные соответствуют действительности.
Первое упоминание о доступности базы данных в интернете относится к концу июля 2023 года, согласно данным поисковика Shodan. Каким именно образом база оказалась в открытом доступе, неизвестно. Чаще всего подобные утечки происходят из-за ошибок в настройках, допущенных по невнимательности.
Представители компании Mondee никак не прокомментировали данный киберинцидент и не предоставили никаких разъяснений. Однако вскоре после того, как компании указали на её ошибку, доступ к базе данных был закрыт.
К сожалению, пока что неясно, смог ли кто-либо ещё, кроме Анурага Сена, получить доступ к базе данных в период, когда она была открыта, или этим удобным шансом успели воспользоваться злоумышленники.
Mondee пока не сообщила, планирует ли информировать затронутых клиентов об этой утечке данных. И предоставит ли какие-либо меры смягчения последствий по типу мониторинга кредитной истории, если злонамеренное воздействие на клиентские данные всё-таки будет выявлено.