Fuite de données sensibles sur la plateforme B to B Gekko, filiale d'Accor
Gekko Group, plateforme de réservation de chambres pour la clientèle d’affaires, rachetée par Accor en octobre 2017, a fait face début novembre à une fuite massive de données personnelles et sensibles de ses clients, parmi lesquelles des identifiants et des coordonnées bancaires, ont rapporté mercredi 20 novembre l’agence de cybersécurité israélienne vpnMentor ainsi que Gekko.
Un serveur mal paramétré laissant un port de connexion ouvert a permis d’accéder librement aux données de quelque 130 000 à 140 000 clients, a indiqué à l’Agence France-Presse une porte-parole de Gekko, confirmant des informations du Parisien. « Nous avons pris connaissance de l’incident le 13 novembre » et la fuite a été colmatée « le même jour », a ajouté la porte-parole, précisant que les personnes concernées ont été averties le 16 novembre.
Les données compromises, provenant « de nombreux pays, la plupart européens », étaient notamment issues de Teldar Travel, un système de réservation destiné aux agences de voyages et salariés d’entreprises, a expliqué mercredi vpnMentor, qui a découvert la faille. Ces informations contenaient des données, telles que des noms, adresses électroniques, identifiants, historiques de réservations, mais aussi les détails de cartes de crédit de certains clients ou agences, précise l’agence.
Les identifiants de connexion accessibles « pouvaient être utilisés par des pirates pour accéder aux comptes privés » des plateformes et « imputer des dépenses aux cartes de crédit » stockées, estime vpnMentor, évoquant aussi les risques d’hameçonnage.
Toutefois « il y a eu moins de 900 cartes de crédit exposées et sans leur cryptogramme visuel obligatoire pour un paiement », a assuré au Parisien Fabrice Perdoncini, PDG de Gekko. « Nous n’avons absolument pas connaissance » d’éventuels usages frauduleux, indique de son côté la porte-parole de l’entreprise.
Gekko, qui propose une interface connectée à 600 000 hôtels dans le monde, allant de l’économique au luxe, est présent en France, en Belgique, en Espagne et au Portugal, fait valoir le fonds dans un communiqué distinct.
La société a pour clientes plus de 300 entreprises et 14 000 agences de voyage à travers quatre filiales : HCorpo (grands comptes), Teldar Travel (agences de voyage loisirs), Teldar Travel Biz (agences de voyages pour PME), et Infinite Hotel (grossiste dédié à l’hôtellerie française indépendante).
Du fait de ces interactions, la base de données compromise contenait « des volumes importants d’informations venant de sources extérieures », dont la plateforme en ligne Booking.com, a signalé vpnMentor.
vpnMentor a déclaré avoir détecté la faille le 7 novembre et avoir aussitôt contacté AccorHotels puis Gekko, avant de recevoir finalement une réponse d’AccorHotels le 13 novembre.
De son côté, la Commission nationale de l’informatique et des libertés (Cnil) a indiqué à l’AFP avoir reçu de Gekko le 16 novembre « une notification de violation de données personnelles ». « Nous avons agi de façon strictement conforme (…) aux délais et procédures » prévus par le règlement général sur la protection des données (RGPD, un texte européen) comme par la Cnil, souligne-t-on chez Gekko.
La loi de 2016 pour la protection des données personnelles autorise la Cnil (Commission Nationale Informatique & Libertés) à prendre des sanctions si celle-ci constate des carences et des insuffisances en matière de sécurité des données personnelles.
La Cnil a notamment prononcé en 2018, rapporte le site des Echos, une amende de 400 000 euros à Uber et une autre de 250 000 euros à Bouygues Telecom pour des failles qui exposaient les données de centaines de milliers de personnes. Elle a également récemment, comme le prévoit le pouvoir de sanction conféré par le RGPD condamné une agence immobilière à une amende de 400 000 euros pour un défaut de sécurité sur les données de 30.000 personnes.
Gekko n’est pas la première filiale du groupe hôtelier français à connaître des déboires en cybersécurité, rapporte Les Echos. En juin 2018, Fastbooking reconnaissait avoir été victime d’une attaque informatique ayant entraîné le vol de données concernant des touristes français et japonais.
Rappelons également que Marriott avait annoncé en novembre 2018 le piratage de la base de données des hôtels Starwood, dont il est le propriétaire depuis 2016. Une enquête interne avait montré qu’une entité extérieure au groupe hôtelier avait copié et crypté des données et que le réseau de Starwood avait fait l’objet d’une intrusion depuis 2014, avait précisé Marriott, qui assurait avoir pris des mesures pour mettre fin à ce piratage.
Pour environ 327 millions de clients, ce détournement de données concernait des informations parmi l’identité, l’adresse postale, l’adresse de courriel, le numéro de téléphone, le numéro de passeport, le compte de fidélité Starwood, la date de naissance ou encore le sexe, déclarait à l’époque Marriott, qui avait découvert ce piratage à la suite d’une alerte de son système de détection le 8 septembre. Pour d’autres, il pouvait également s’agir des numéros de cartes de paiement et leur date d’expiration mais ces données étaient cryptées (AES-128).
Marriott avait déclaré en juillet 2019 encourir une amende de 124 millions de dollars (111 millions d’euros)de la part de l’organe britannique de protection des données pour le piratage de la base de données de sa chaîne d’hôtels Starwood. Depuis mars 2019, cinq Etats américains enquêtent également sur ce piratage, ce qui expose le groupe à des amendes potentiellement plus importantes.
(sources : principalement AFP, complétées par les sources Le Parisien, Les Echos et HR-infos).
«
Un serveur mal paramétré laissant un port de connexion ouvert a permis d'accéder librement aux données de quelque 130 000 à 140 000 clients, a indiqué à l'Agence France-Presse une porte-parole de Gekko, confirmant des informations du Parisien. « Nous avons pris connaissance de l'incident le 13 novembre » et la fuite a été colmatée « le même jour », a ajouté la porte-parole, précisant que les personnes concernées ont été averties le 16 novembre.
Les données compromises, provenant « de nombreux pays, la plupart européens », étaient notamment issues de Teldar Travel, un système de réservation destiné aux agences de voyages et salariés d'entreprises, a expliqué mercredi vpnMentor, qui a découvert la faille. Ces informations contenaient des données, telles que des noms, adresses électroniques, identifiants, historiques de réservations, mais aussi les détails de cartes de crédit de certains clients ou agences, précise l'agence.
Les identifiants de connexion accessibles « pouvaient être utilisés par des pirates pour accéder aux comptes privés » des plateformes et « imputer des dépenses aux cartes de crédit » stockées, estime vpnMentor, évoquant aussi les risques d'hameçonnage.
Toutefois « il y a eu moins de 900 cartes de crédit exposées et sans leur cryptogramme visuel obligatoire pour un paiement », a assuré au Parisien Fabrice Perdoncini, PDG de Gekko. « Nous n'avons absolument pas connaissance » d'éventuels usages frauduleux, indique de son côté la porte-parole de l'entreprise.
Gekko, qui propose une interface connectée à 600 000 hôtels dans le monde, allant de l’économique au luxe, est présent en France, en Belgique, en Espagne et au Portugal, fait valoir le fonds dans un communiqué distinct.
La société a pour clientes plus de 300 entreprises et 14 000 agences de voyage à travers quatre filiales : HCorpo (grands comptes), Teldar Travel (agences de voyage loisirs), Teldar Travel Biz (agences de voyages pour PME), et Infinite Hotel (grossiste dédié à l’hôtellerie française indépendante).
Du fait de ces interactions, la base de données compromise contenait « des volumes importants d'informations venant de sources extérieures », dont la plateforme en ligne Booking.com, a signalé vpnMentor.
vpnMentor a déclaré avoir détecté la faille le 7 novembre et avoir aussitôt contacté AccorHotels puis Gekko, avant de recevoir finalement une réponse d'AccorHotels le 13 novembre.
De son côté, la Commission nationale de l'informatique et des libertés (Cnil) a indiqué à l'AFP avoir reçu de Gekko le 16 novembre « une notification de violation de données personnelles ». « Nous avons agi de façon strictement conforme (...) aux délais et procédures » prévus par le règlement général sur la protection des données (RGPD, un texte européen) comme par la Cnil, souligne-t-on chez Gekko.
La loi de 2016 pour la protection des données personnelles autorise la Cnil (Commission Nationale Informatique & Libertés) à prendre des sanctions si celle-ci constate des carences et des insuffisances en matière de sécurité des données personnelles.
La Cnil a notamment prononcé en 2018, rapporte le site des Echos, une amende de 400 000 euros à Uber et une autre de 250 000 euros à Bouygues Telecom pour des failles qui exposaient les données de centaines de milliers de personnes. Elle a également récemment, comme le prévoit le pouvoir de sanction conféré par le RGPD condamné une agence immobilière à une amende de 400 000 euros pour un défaut de sécurité sur les données de 30.000 personnes.
Gekko n'est pas la première filiale du groupe hôtelier français à connaître des déboires en cybersécurité, rapporte Les Echos. En juin 2018, Fastbooking reconnaissait avoir été victime d'une attaque informatique ayant entraîné le vol de données concernant des touristes français et japonais.
Rappelons également que Marriott avait annoncé en novembre 2018 le piratage de la base de données des hôtels Starwood, dont il est le propriétaire depuis 2016. Une enquête interne avait montré qu’une entité extérieure au groupe hôtelier avait copié et crypté des données et que le réseau de Starwood avait fait l’objet d’une intrusion depuis 2014, avait précisé Marriott, qui assurait avoir pris des mesures pour mettre fin à ce piratage.
Pour environ 327 millions de clients, ce détournement de données concernait des informations parmi l’identité, l’adresse postale, l’adresse de courriel, le numéro de téléphone, le numéro de passeport, le compte de fidélité Starwood, la date de naissance ou encore le sexe, déclarait à l'époque Marriott, qui avait découvert ce piratage à la suite d’une alerte de son système de détection le 8 septembre. Pour d’autres, il pouvait également s’agir des numéros de cartes de paiement et leur date d’expiration mais ces données étaient cryptées (AES-128).
Marriott avait déclaré en juillet 2019 encourir une amende de 124 millions de dollars (111 millions d'euros)de la part de l'organe britannique de protection des données pour le piratage de la base de données de sa chaîne d'hôtels Starwood. Depuis mars 2019, cinq Etats américains enquêtent également sur ce piratage, ce qui expose le groupe à des amendes potentiellement plus importantes. (sources : principalement AFP, complétées par les sources Le Parisien, Les Echos et HR-infos). "